О задачах поиска IOC в Kaspersky Endpoint Agent
Задачи поиска IOC – это задачи, в ходе выполнения которых Kaspersky Endpoint Agent использует IOC-файлы (файлы индикаторов компрометации открытого стандарта описания OpenIOC) для поиска этих индикаторов на устройствах.
Стандартные задачи поиска IOC – групповые или локальные задачи, которые создаются и настраиваются вручную в Kaspersky Security Center или через интерфейс командной строки. Для запуска задач используются IOC-файлы, подготовленные пользователем.
Автономные задачи поиска IOC – групповые задачи, которые создаются автоматически при реагировании на угрозы, обнаруженные Kaspersky Sandbox. Kaspersky Endpoint Agent автоматически формирует IOC-файл. Работа с пользовательскими IOC-файлами не предусмотрена. Задачи автоматически удаляются через семь дней после последнего запуска или с момента создания, если задачи не запускались. Подробнее об автономных задачах поиска IOC см. в Справке Kaspersky Sandbox.
Вы можете задать следующие действия по реагированию на найденные IOC (недоступно при запуске задач из командной строки):
- Изолировать устройство от сети, чтобы программа Kaspersky Endpoint Agent выполняла сетевую изоляцию устройства, на котором обнаружен индикатор компрометации.
Недоступно для Автономных задач поиска IOC.
- Поместить на карантин и удалить, чтобы поместить обнаруженный объект на карантин и удалить его с устройства.
- Запустить проверку важных областей, чтобы программа Kaspersky Endpoint Agent отправляла программе EPP команду на выполнение проверки важных областей на всех устройствах группы администрирования, на которых обнаружены индикаторы компрометации.
Просмотр отчета о выполнении задачи доступен в результатах выполнения задачи в виде сводной таблицы, а также в виде Карточки инцидента IOC.
Результаты выполнения групповых задач поиска IOC доступны для просмотра в Kaspersky Security Center в течение семи дней с момента выполнения задачи или до момента удаления задачи.
В начало