Настройка параметров стандартной задачи поиска IOC
Создание задачи выполняется предварительно отдельным этапом.
Если во время создания задачи, вы установили флажок Открыть окно свойств задачи после ее создания на странице Завершение создания задачи, то переходите сразу к пункту 4 приведенной далее инструкции.
Чтобы настроить параметры стандартной задачи поиска IOC выполните следующие действия:
В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
Чтобы открыть окно настройки параметров задачи, нажмите на имя задачи.
Выберите закладку Параметры программы.
В разделе Параметры поиска IOC настройте IOC-коллекцию, выполнив следующие действия:
В блоке параметров IOC-файлы нажмите на кнопку Переопределить IOC-файлы.
В открывшемся диалоговом окне нажмите на кнопку Добавить IOC-файлы и укажите IOC-файлы, которые вы хотите использовать для задачи.
Для одной задачи поиска IOC можно выбрать несколько IOC-файлов.
Нажмите на кнопку ОК, чтобы закрыть диалоговое окно.
Если при создании задачи Поиск IOC вы загрузите IOC-файлы, часть из которых не поддерживается Kaspersky Endpoint Agent, то при запуске задачи программа будет использовать только поддерживаемые IOC-файлы.
Если вы хотите посмотреть список всех IOC-файлов, которые включены в IOC-коллекцию, а также получить информацию о каждом IOC-файле, выполните следующие действия:
Нажмите на ссылку с именами всех загруженных IOC-файлов в блоке параметров IOC-файлы.
Откроется окно Содержимое IOC ().
Чтобы просмотреть детальную информацию об отдельном IOC-файле, на закладке IOC-коллекция в списке файлов нажмите на имя нужного IOC-файла.
В открывшемся окне отображена информация о выбранном IOC-файле.
Чтобы закрыть окно с информацией о выбранном IOC-файле, нажмите на кнопку ОК или Отмена.
Чтобы просмотреть информацию сразу обо всех загруженных IOC-файлах, перейдите на закладку Данные IOC.
В рабочей области окна отображена информация о каждом загруженном IOC-файле.
Если вы хотите, чтобы определенный IOC-файл не использовался при запуске задачи поиска IOC, на закладке IOC-коллекция переведите переключатель рядом с его именем из положения Включить в положение Исключить.
Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Содержимое IOC ().
Если вы хотите экспортировать созданную IOC-коллекцию, нажмите на кнопку Экспортировать IOC-коллекцию.
В открывшемся окне можно задать имя файла, а также выбрать папку, в которую вы хотите его сохранить.
Нажмите на кнопку Сохранить.
Программа создаст файл формата ZIP в указанной папке.
В разделе Параметры поиска IOC настройте ответные действия при обнаружении индикатора компрометации:
В блоке параметров Действия установите флажок Принять ответные действия при обнаружении индикатора компрометации.
Установите флажок Изолировать устройство от сети, чтобы программа Kaspersky Endpoint Agent выполняла сетевую изоляцию устройства, на котором обнаружен индикатор компрометации.
Установите флажок Поместить на карантин и удалить, чтобы поместить обнаруженный объект на карантин и удалить его с устройства.
Установите флажок EPP запустить проверку важных областей на устройстве, чтобы программа Kaspersky Endpoint Agent отправляла программе EPP команду на выполнение проверки важных областей на всех устройствах группы администрирования, на которых обнаружены индикаторы компрометации.
Если включен параметр Поместить на карантин и удалить или Запустить проверку важных областей, в качестве ответных действий Kaspersky Endpoint Agent может признать обнаруженные файлы зараженными и удалить их с устройства.
В разделе Дополнительно выберите типы данных (IOC-документы), которые необходимо анализировать во время выполнения задачи, и настройте дополнительные параметры поиска:
В блоке параметров Выберите типы данных (IOC-документы) для анализа во время поиска IOC установите флажки рядом с нужными IOC-документами.
В зависимости от загруженных IOC-файлов, некоторые флажки могут быть неактивными.
Kaspersky Endpoint Agent автоматически выбирает типы данных (IOC-документы) для задачи Поиск IOC в соответствии с содержанием загруженных IOC-файлов. Не рекомендуется самостоятельно отменять выбор типов данных.
Если установлен флажок Анализировать данные файлов (FileItem), нажмите на ссылку Дополнительно (FileItem) и в открывшемся окне Параметры проверки документа FileItem выберите области на дисках защищаемого устройства, в которых необходимо искать индикаторы компрометации.
Вы можете выбрать одну из предзаданных областей, а также указать пути до нужных областей самостоятельно.
Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа FileItem.
Если установлен флажок Анализировать данные WEL (EventLogItem), нажмите на ссылку Дополнительно (EventLogItem) и в открывшемся окне Параметры проверки документа EventLogItem настройте дополнительные параметры анализа событий:
Проверять только события, зафиксированные в течение указанного периода.
Если флажок установлен, во время выполнения задачи учитываются только те события, которые были зафиксированы в указанный период.
Проверять события, относящиеся к следующим каналам.
Список каналов, которые анализируются во время выполнения задачи.
Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа FileItem.