Kaspersky Endpoint Agent

Создание и настройка стандартной задачи поиска IOC

Развернуть всё | Свернуть всё

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

В задаче поиска IOC можно указать только файл с IOC-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи поиска IOC.

Чтобы создать и настроить стандартную задачу поиска IOC,

в зависимости от требуемой области действия задачи выполните одно из следующих действий:

• Запустите мастер создания локальной задачи.
• Запустите мастер создания групповой задачи.

  Групповые задачи - это задачи, которые выполняются на устройствах выбранной группы администрирования. Подробнее о задачах см. в документации Kaspersky Security Center.

  Чтобы создать групповую задачу:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. Выполните одно из следующих действий:
     • Выберите папку Управляемые устройства дерева Консоли администрирования, если вы хотите создать групповую задачу для всех устройств, управляемых с помощью программы Kaspersky Security Center.
     • В папке Управляемые устройства дерева Консоли администрирования выберите папку с названием группы администрирования, в состав которой входят требуемые устройства.
  3. В рабочей области выберите закладку Задачи.
  4. Нажмите на кнопку Новая задача.

     Запустится мастер создания задачи.

  5. Выберите нужную задачу и нажмите Далее.
  6. Следуйте указаниям мастера создания задачи.

Мастер создания задачи позволяет настроить следующие параметры:

• IOC-коллекция

  Чтобы настроить IOC-коллекцию, выполните следующие действия:

  1. В блоке параметров IOC-коллекция нажмите на кнопку Обзор.
  2. В раскрывшемся контекстном меню выполните одно из следующих действий:
     • Выберите элемент Выбрать папку, чтобы добавить группу IOC-файлов в IOC-коллекцию.
     • Выберите элемент Выбрать файл, чтобы добавить один IOC-файл в IOC-коллекцию.
  3. В зависимости от вашего выбора, в открывшемся окне выполните одно из следующих действий:
     • Укажите путь к папке с IOC-файлами и нажмите на кнопку ОК.
     • Укажите путь к IOC-файлу и нажмите на кнопку Открыть.

     Если при создании задачи Поиск IOC вы загрузите IOC-файлы, часть из которых не поддерживается Kaspersky Endpoint Agent, то при запуске задачи программа будет использовать только поддерживаемые IOC-файлы.

  4. Чтобы посмотреть список всех IOC-файлов, которые включены в IOC-коллекцию, а также получить информацию о каждом IOC-файле, нажмите на кнопку Просмотр.

     Откроется окно Выбрать папку. В этом окне можно исключить любой файл из базы, сняв флажок, расположенный рядом с именем IOC-файла.

  5. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Выбрать папку.
  6. Чтобы экспортировать созданную IOC-коллекцию, нажмите на кнопку Экспортировать.

     В открывшемся окне можно задать имя файла, а также выбрать папку, в которую вы хотите его сохранить.

  7. Нажмите на кнопку Сохранить.

     Программа создаст файл формата ZIP в указанной папке.

• Типы данных (IOC-документы) для анализа во время поиска IOC

  Чтобы выбрать типы данных (IOC-документы), которые необходимо анализировать во время поиска IOC, и настроить дополнительные параметры поиска, выполните следующие действия:

  1. Нажмите на кнопку Настроить IOC термины и документы.

     Откроется окно IOC термины и документы.

  2. В блоке параметров Выберите типы данных (IOC-документы) для анализа во время поиска IOC установите флажки рядом с нужными IOC-документами.

     В зависимости от загруженных IOC-файлов, некоторые флажки могут быть неактивными.

     Kaspersky Endpoint Agent автоматически выбирает типы данных (IOC-документы) для задачи Поиск IOC в соответствии с содержанием загруженных IOC-файлов. Не рекомендуется самостоятельно отменять выбор типов данных.

  3. Чтобы настроить дополнительные параметры для выбранного IOC-документа ProcessItem, выполните следующие действия:
     1. Нажмите на кнопку Дополнительно (ProcessItem).

        Откроется окно Параметры проверки документа ProcessItem.

     2. В блоке параметров Индикаторы выберите данные, которые необходимо анализировать во время выполнения задачи.
     3. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа ProcessItem.
  4. Чтобы настроить дополнительные параметры для выбранного IOC-документа FileItem, выполните следующие действия:
     1. Нажмите на кнопку Дополнительно (FileItem).

        Откроется окно Параметры проверки документа FileItem.

     2. На закладке Области выберите данные, которые необходимо анализировать во время выполнения задачи.
     3. На закладке Области выберите области на дисках защищаемого устройства, в которых необходимо искать индикаторы компрометации.

        Вы можете выбрать одну из предзаданных областей, а также указать пути до нужных областей самостоятельно.

     4. На закладке Исключения установите флажок Применять исключения и добавьте пути до областей на дисках защищаемого устройства, которые не нужно сканировать во время выполнения задачи.
     5. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа FileItem.
  5. Чтобы настроить дополнительные параметры для выбранного IOC-документа RegistryItem, выполните следующие действия:
     1. Нажмите на кнопку Дополнительно (RegistryItem).

        Откроется окно Параметры проверки документа RegistryItem.

     2. Задайте ключи реестра Windows, которые необходимо проверять во время выполнения задачи.

        Вы можете выбрать проверку по предзаданным ключам реестра или указать список нужных ключей реестра самостоятельно.

     3. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа RegistryItem.
  6. Чтобы настроить дополнительные параметры для выбранного IOC-документа EventLogItem, выполните следующие действия:
     1. Нажмите на кнопку Дополнительно (EventLogItem).

        Откроется окно Параметры проверки документа EventLogItem.

     2. Чтобы во время выполнения задачи не учитывать события, зафиксированные ранее определенного момента, установите флажок Проверять только события, зафиксированные в течение указанного периода и укажите дату и время.
     3. Ниже в том же окне, если необходимо, отредактируйте предзаданный список каналов, которые необходимо анализировать во время выполнения задачи.
     4. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа EventLogItem.
  7. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно.

  Сохраненные параметры будут применены при выполнении задачи.

• Ретроспективный поиск IOC

  Ретроспективный поиск IOC - это режим работы задачи Поиск IOC, при котором Kaspersky Endpoint Agent выполняет поиск

  индикаторов компрометации

  IOC (Indicator of Compromise, индикатор компрометации) – это набор данных о вредоносном объекте или действии.

  по данным, полученным за указанный пользователем интервал времени. Режим предназначен для поиска индикаторов компрометации по данным сетевой активности защищаемых устройств. Kaspersky Endpoint Agent анализирует данные в журналах операционной системы и браузеров на устройствах.

  Режим Ретроспективный поиск IOC доступен только для Стандартных задач поиска IOC.

  Чтобы включить режим Ретроспективный поиск IOC:

  1. В блоке параметров Ретроспективный поиск IOC включите параметр Выполнять Ретроспективный поиск IOC в интервале.
  2. Укажите временной интервал.

     Во время выполнения задачи программа анализирует данные, собранные за указанный вами интервал времени, включая границы указанного интервала (с 00:00 даты начала до 23:59 даты окончания). По умолчанию задан интервал, начинающийся в 00:00 дня, предшествующего дню создания задачи, и заканчивающийся в 23:59 дня создания задачи.

  Если во время выполнения задачи Поиск IOC со включенным параметром Выполнять Ретроспективный поиск IOC в интервале программа не обнаруживает данных для анализа за указанный временной интервал, программа не информирует об этом. В этом случае программа сообщает об отсутствии индикаторов компрометации в отчете о выполнении задачи.

• Действия программы при обнаружении IOC

  Чтобы настроить действия Kaspersky Endpoint Agent при обнаружении IOC, выполните следующие действия:

  1. В разделе Действия установите флажок Принять ответные действия при обнаружении индикатора компрометации.
  2. Установите флажок Изолировать устройство от сети, чтобы программа Kaspersky Endpoint Agent выполняла сетевую изоляцию устройства, на котором обнаружен индикатор компрометации.
  3. Установите флажок EPP выполнять проверку важных областей на устройстве, чтобы программа Kaspersky Endpoint Agent отправляла программе EPP команду на выполнение проверки важных областей на всех устройствах группы администрирования, на которых обнаружены индикаторы компрометации.

  При настройке параметров задачи через Консоль администрирования Kaspersky Security Center флажок Не выполнять действий над критическими системными файлами доступен, только если для задачи выбрано ответное действие Поместить на карантин и удалить (этот параметр можно настроить только через Kaspersky Security Center Web Console).

• Расписание запуска задачи

  Чтобы настроить расписание запуска задач поиска IOC, выполните следующие действия:

  1. В разделе Расписание запуска задач установите флажок Запускать по расписанию.
  2. В списке Периодичность выберите один из следующих вариантов запуска задач поиска IOC: В указанное время, Каждый час, Каждый день, Каждую неделю или При запуске программы.
  3. Если вы выбрали запуск задачи В указанное время, в разделе Запускать по расписанию укажите время и дату запуска задачи.
  4. Если вы выбрали запуск задачи Каждый час, Каждый день или Каждую неделю, в разделе Запускать по расписанию настройте параметры запуска задачи:
     1. В списке Каждый выберите периодичность запуска задачи. Например, 1 раз в день или 2 раза в неделю по вторникам и четвергам.
     2. В списках Время и Дата выберите время и дату начала действия расписания.
  5. Чтобы выполнить расширенную настройку расписания, нажмите на кнопку Дополнительно и выполните следующие действия в окне Дополнительно:
     1. Если вы хотите задать максимальное время ожидания выполнения задачи, установите флажок Завершать задачи, выполняющиеся более и укажите, через сколько часов и минут задача будет автоматически завершаться.
     2. Если вы хотите, чтобы расписание запуска задачи действовало до определенной даты, установите флажок Отменить расписание с и укажите дату окончания действия расписания.
     3. Если вы хотите, чтобы программа при первой возможности запускала задачи поиска IOC, не выполненные вовремя, установите флажок Запускать пропущенные задачи.
     4. Если вы хотите избежать одновременного обращения большого количества рабочих станций к Серверу администрирования и запускать задачу на рабочих станциях не точно по расписанию, а случайным образом в течение определенного интервала времени, установите флажок Запускать задачу каждые и задайте интервал запуска в минутах.
     5. Нажмите на кнопку OK.
• Учетную запись пользователя Kaspersky Security Center для запуска задачи

  Чтобы выбрать учетную запись пользователя Kaspersky Security Center, с правами которой запускать задачу,

  в блоке параметров выбора учетной записи для запуска задачи выполните одно из следующих действий:

  • Выберите учетную запись по умолчанию и нажмите на кнопку Далее.
  • Введите имя и пароль пользователя, с правами учетной записью которого вы хотите выполнять задачу.
• Название задачи

  Название задачи не должно превышать 100 символов и не должно содержать специальные символы ("*<>?\:|).

Если при создании задачи Поиск IOC вы загрузите IOC-файлы, часть из которых не поддерживается Kaspersky Endpoint Agent, то при запуске задачи программа будет использовать только поддерживаемые IOC-файлы.

Семантические ошибки и неподдерживаемые программой IOC-термины и теги в IOC-файлах не приводят к ошибкам выполнения задачи. На таких участках IOC-файлов программа фиксирует отсутствие совпадения.