Создание задачи Поиск IOC из карточки инцидента

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы создать задачу Поиск IOC из карточки инцидента:

  1. Откройте карточку инцидента.
  2. На закладке Все события инцидента выберите элементы списка, на основе которых вы хотите создать задачу поиска IOC.
  3. Нажмите на кнопку Создание задачи поиска IOC.
  4. Выполните одно из следующих действий:
    • Если вы хотите, чтобы индикатор компрометации срабатывал при обнаружении любого из выбранных объектов, в правой части экрана выберите ИЛИ (любой IOC обнаружен).
    • Если вы хотите, чтобы индикатор компрометации срабатывал только при обнаружении всех выбранных объектов, в правой части экрана выберите И (все IOC обнаружены).
  5. В группе параметров Действия при обнаружении IOC выберите одно из следующих действий:
    • Изолировать устройство от сети, чтобы программа Kaspersky Endpoint Agent выполняла сетевую изоляцию устройства, на котором обнаружен индикатор компрометации.
    • Поместить на карантин и удалить, чтобы поместить обнаруженный объект на карантин и удалить его с устройства.
    • EPP запустить проверку важных областей на устройстве, чтобы программа Kaspersky Endpoint Agent отправляла программе EPP команду на выполнение проверки важных областей на всех устройствах группы администрирования, на которых обнаружен индикатор компрометации.
  6. Нажмите на кнопку Создать задачу.

По умолчанию для задач поиска IOC, созданных из карточки инцидента, используются параметры, описанные в таблице ниже. Вы можете изменять эти значения в параметрах созданной задачи.

Параметры по умолчанию для задачи Поиск IOC, созданной из карточки инцидента

Параметр

Значение по умолчанию

Описание

Параметры на закладке Расписание

Запускать по расписанию

Опция выбрана.

Задача запускается по расписанию, с заданными параметрами.

Периодичность

В указанное время

Задача запускается один раз в указанные дату и время.

Время запуска

Через 15 минут после создания задачи.

Задача запускается в указанное время.

Дата запуска

Дата создания задачи.

Задача запускается в указанную дату.

Завершать задачу, выполняющуюся более

Опция выбрана. Задано значение в 1 час.

Программа завершает задачу через указанное время после запуска вне зависимости от прогресса выполнения задачи.

Отменить расписание с

Опция не выбрана.

Автоматическая отмена расписания запуска задачи не применяется.

Запускать пропущенные задачи

Опция выбрана.

Программа перезапускает задачу, которая не была запущена по расписанию по какой-то причине. Например, если служба Kaspersky Endpoint Agent не выполнялась в запланированный момент запуска задачи.

Распределять время запуска задач в интервале

Опция выбрана. Задано значение в 10 минут.

Задача запустится в произвольный момент в течение указанного времени от времени, заданного в поле Время запуска.

Параметры в разделе Дополнительно

Выберите типы данных (IOC-документы) для анализа во время поиска IOC

 

При анализе данных файлов (FileItem) выбрана опция Анализировать данные файлов (FileItem).

В дополнительных настройках IOC-документа в блоке параметров Искать индикаторы компрометации в следующих областях выбрана опция Важные области на устройстве.

Программа проверяет критические области на устройстве, а также папку, в которой изначально был обнаружен опасный объект.

К критическим областям относятся следующие:

  • Временные файлы в папках системных и пользовательских учетных записей.
  • Временные файлы в папке операционной системы и в папке %TEMP% для учетной записи Local System, если эти пути отличаются.

При анализе данных реестра Windows (RegistryItem) выбрана опция Анализировать реестр Windows (RegistryItem).

Программа проверяет пути пользовательских разделов реестра.

Kaspersky Endpoint Agent версии 3.9 по умолчанию для задач поиска IOC, созданных из карточки инцидента, использует параметры, заданные в разделе Интеграция с Kaspersky Sandbox в блоке параметров Реагирование на угрозы. Подробную информацию см. в Справке Kaspersky Sandbox.

В начало