О задачах поиска IOC в Kaspersky Endpoint Agent

Задачи поиска IOC – это задачи, в ходе выполнения которых Kaspersky Endpoint Agent использует IOC-файлы (файлы индикаторов компрометации открытого стандарта описания OpenIOC) для поиска этих индикаторов на устройствах.

Kaspersky Endpoint Agent поддерживает три типа задач поиска IOC:

Стандартные задачи поиска IOC – групповые или локальные задачи, которые создаются и настраиваются вручную в Kaspersky Security Center или через интерфейс командной строки. Для запуска задач используются IOC-файлы, подготовленные пользователем.
Автономные задачи поиска IOC – групповые задачи, которые создаются автоматически при реагировании на угрозы, обнаруженные Kaspersky Sandbox. Kaspersky Endpoint Agent автоматически формирует IOC-файл. Работа с пользовательскими IOC-файлами не предусмотрена. Задачи автоматически удаляются через семь дней после последнего запуска или с момента создания, если задачи не запускались. Подробнее об автономных задачах поиска IOC см. в Справке Kaspersky Sandbox.
Поиск IOC по IOC-файлам, загружаемым вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform – пользователи программы могут использовать IOC-файлы для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе событий и обнаружений, а также для проверки компьютеров с установленным компонентом Kaspersky Endpoint Agent.

Задачи отличаются возможностями управления, доступными для настройки параметрами, а также областью действия. Описание каждого типа задач поиска IOC приведено в следующей таблице.

Типы задач поиска IOC

Тип задач	Описание задач	Область действия задач
Стандартные задачи поиска IOC	Задачи создаются и настраиваются вручную в Kaspersky Security Center или через интерфейс командной строки, без интеграции со сторонними системами. Для запуска задач используются IOC-файлы, подготовленные пользователем. Параметры задач не зависят от настроек в параметрах политик. Для задач доступен режим Ретроспективный поиск IOC. Ретроспективный поиск IOC - это режим работы задачи Поиск IOC, при котором Kaspersky Endpoint Agent выполняет поиск индикаторов компрометации по данным, полученным за указанный пользователем интервал времени. Режим предназначен для поиска индикаторов компрометации по данным сетевой активности защищаемых устройств. Kaspersky Endpoint Agent анализирует данные в журналах операционной системы и браузеров на устройствах. Режим Ретроспективный поиск IOC доступен только для Стандартных задач поиска IOC. Вы можете задать следующие действия по реагированию на найденные IOC (недоступно при запуске задач из командной строки): Запуск на устройстве задач проверки по требованию при помощи EPP. Включение сетевой изоляции устройства. Просмотр отчетов доступен как в результатах выполнения задач в виде сводной таблицы, так и в карточке обнаруженных IOC. Карточка обнаруженных IOC содержит информацию об объектах, совпавших с условиями обработанного IOC-файла, а также текст совпавших веток или отдельных условий из этого IOC-файла. Просмотр карточки обнаруженных IOC недоступен для IOC-файлов, при проверке которых не было обнаружено индикаторов компрометации.	Локальные или групповые
Автономные задачи поиска IOC	Задачи создаются автоматически, если в политике Kaspersky Endpoint Agent задано действие Запустить Поиск IOC на управляемой группе устройств по реагированию на угрозы, обнаруженные Kaspersky Sandbox. Kaspersky Endpoint Agent автоматически формирует IOC-файл. Работа с пользовательскими IOC-файлами не предусмотрена. Пользователю доступно ограниченное управление задачами в Kaspersky Security Center. В политике можно задать расписание запуска задач и области поиска. Задачи автоматически удаляются через семь дней после последнего запуска или с момента создания, если задачи не запускались. Вы можете задать следующие действия по реагированию на найденные IOC: Запуск на устройстве задач проверки по требованию при помощи EPP. Помещение объекта на карантин и удаление с устройства. Просмотр отчетов доступен как в результатах выполнения задач в виде сводной таблицы, так и в карточке обнаруженных IOC.	Групповые
Поиск IOC по IOC-файлам, загружаемым вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform	IOC-файлы загружаются вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform. Также есть возможность настроить расписание IOC-проверки компьютеров с программой Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform. Управление задачами с помощью Kaspersky Security Center или через командную строку не предусмотрено. Автоматических действий при обнаружении IOC не предусмотрено. Параметры задач не зависят от политик Kaspersky Endpoint Agent.	Не применимо

Тип задач

Описание задач

Область действия задач

Стандартные задачи поиска IOC

Задачи создаются и настраиваются вручную в Kaspersky Security Center или через интерфейс командной строки, без интеграции со сторонними системами.

Для запуска задач используются IOC-файлы, подготовленные пользователем.

Параметры задач не зависят от настроек в параметрах политик.

Для задач доступен режим Ретроспективный поиск IOC.

Вы можете задать следующие действия по реагированию на найденные IOC (недоступно при запуске задач из командной строки):

Запуск на устройстве задач проверки по требованию при помощи EPP.
Включение сетевой изоляции устройства.
Просмотр отчетов доступен как в результатах выполнения задач в виде сводной таблицы, так и в карточке обнаруженных IOC.

Карточка обнаруженных IOC содержит информацию об объектах, совпавших с условиями обработанного IOC-файла, а также текст совпавших веток или отдельных условий из этого IOC-файла.

Просмотр карточки обнаруженных IOC недоступен для IOC-файлов, при проверке которых не было обнаружено индикаторов компрометации.

Локальные или групповые

Автономные задачи поиска IOC

Задачи создаются автоматически, если в политике Kaspersky Endpoint Agent задано действие Запустить Поиск IOC на управляемой группе устройств по реагированию на угрозы, обнаруженные Kaspersky Sandbox.

Kaspersky Endpoint Agent автоматически формирует IOC-файл. Работа с пользовательскими IOC-файлами не предусмотрена.

Пользователю доступно ограниченное управление задачами в Kaspersky Security Center.

В политике можно задать расписание запуска задач и области поиска.

Задачи автоматически удаляются через семь дней после последнего запуска или с момента создания, если задачи не запускались.

Вы можете задать следующие действия по реагированию на найденные IOC:

Запуск на устройстве задач проверки по требованию при помощи EPP.
Помещение объекта на карантин и удаление с устройства.
Просмотр отчетов доступен как в результатах выполнения задач в виде сводной таблицы, так и в карточке обнаруженных IOC.

Групповые

Поиск IOC по IOC-файлам, загружаемым вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform

IOC-файлы загружаются вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform. Также есть возможность настроить расписание IOC-проверки компьютеров с программой Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.

Управление задачами с помощью Kaspersky Security Center или через командную строку не предусмотрено.

Автоматических действий при обнаружении IOC не предусмотрено.

Параметры задач не зависят от политик Kaspersky Endpoint Agent.

Не применимо

Результаты выполнения групповых задач поиска IOC доступны для просмотра в Kaspersky Security Center в течение семи дней с момента выполнения задачи или до момента удаления задачи.

В начало