В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.
Чтобы создать задачу Поиск IOC из карточки инцидента:
По умолчанию для задач поиска IOC, созданных из карточки инцидента, используются параметры, описанные в таблице ниже. Вы можете изменять эти значения в параметрах созданной задачи.
Параметры по умолчанию для задачи Поиск IOC, созданной из карточки инцидента
Параметр |
Значение по умолчанию |
Описание |
---|---|---|
Параметры на закладке Расписание |
||
Запускать по расписанию |
Опция выбрана. |
Задача запускается по расписанию, с заданными параметрами. |
Периодичность |
В указанное время |
Задача запускается один раз в указанные дату и время. |
Время запуска |
Через 15 минут после создания задачи. |
Задача запускается в указанное время. |
Дата запуска |
Дата создания задачи. |
Задача запускается в указанную дату. |
Завершать задачу, выполняющуюся более |
Опция выбрана. Задано значение в 1 час. |
Программа завершает задачу через указанное время после запуска вне зависимости от прогресса выполнения задачи. |
Отменить расписание с |
Опция не выбрана. |
Автоматическая отмена расписания запуска задачи не применяется. |
Запускать пропущенные задачи |
Опция выбрана. |
Программа перезапускает задачу, которая не была запущена по расписанию по какой-то причине. Например, если служба Kaspersky Endpoint Agent не выполнялась в запланированный момент запуска задачи. |
Распределять время запуска задач в интервале |
Опция выбрана. Задано значение в 10 минут. |
Задача запустится в произвольный момент в течение указанного времени от времени, заданного в поле Время запуска. |
Параметры в разделе Дополнительно |
||
Выберите типы данных (IOC-документы) для анализа во время поиска IOC
|
При анализе данных файлов (FileItem) выбрана опция Анализировать данные файлов (FileItem). В дополнительных настройках IOC-документа в блоке параметров Искать индикаторы компрометации в следующих областях выбрана опция Важные области на устройстве. |
Программа проверяет критические области на устройстве, а также папку, в которой изначально был обнаружен опасный объект. К критическим областям относятся следующие:
|
При анализе данных реестра Windows (RegistryItem) выбрана опция Анализировать реестр Windows (RegistryItem). |
Программа проверяет пути пользовательских разделов реестра. |
Kaspersky Endpoint Agent версии 3.9 по умолчанию для задач поиска IOC, созданных из карточки инцидента, использует параметры, заданные в разделе Интеграция с Kaspersky Sandbox в блоке параметров Реагирование на угрозы. Подробную информацию см. в Справке Kaspersky Sandbox.
В начало