Suche nach Kompromittierungsindikatoren

Mit der Aufgabe Suche nach Kompromittierungsindikatoren können Sie auf dem Gerät nach Anzeichen einer Kompromittierung suchen und mithilfe der Aufgabe IOC-Untersuchung Maßnahmen ergreifen, um auf eine Bedrohung zu reagieren.

Um nach Anzeichen einer Kompromittierung zu suchen, verwendet Kaspersky Endpoint Security IOC-Dateien, die vom Benutzer erstellt werden müssen. Die IOC-Dateien müssen den Anforderungen an IOC-Dateien entsprechen.

Sie können die Aufgabe IoC-Untersuchung in der Web Console erstellen, ausführen und deren Parameter ändern.

im Abschnitt Assets (Geräte) → Aufgaben → Link <Aufgabenname> → Aufgabeneinstellungen
im Abschnitt Assets (Geräte) → Verwaltete Geräte → Link <Gerätename> → Aufgaben → Link <Aufgabenname> → Aufgabeneinstellungen
im Fenster mit den Alarmdetails

Sie können eine Aufgabe zur IOC-Untersuchung nicht über die Befehlszeile erstellen, ausführen oder konfigurieren. Das Anzeigen der über die Kaspersky Security Center Web Console erstellten Aufgabe IoC-Untersuchung ist in der Befehlszeile mit dem Befehl kesl-control --get-task-list nicht möglich.

Für diese Aufgabe ist in den Einstellungen des Zeitplans die Wake-on-LAN-Option nicht verfügbar. Um die Aufgabe auszuführen, stellen Sie sicher, dass das Gerät eingeschaltet ist.

Einstellungen der Aufgabe IoC-Untersuchung

Einstellung	Beschreibung
IOC-Dateien neu definieren	Über diese Schaltfläche wird der Bereich IOC-Dateien neu definieren geöffnet. Die im Bereich IOC-Dateien neu definieren befindliche Schaltfläche IOC-Dateien hinzufügen öffnet ein Fenster, in dem Sie die für die Suche nach Kompromittierungsindikatoren erforderlich IOC-Dateien auf dem Gerät auswählen und herunterladen können. Nach dem Herunterladen der IOC-Dateien können Sie die Liste der Indikatoren aus den IOC-Dateien anzeigen.
IOC-Sammlung exportieren	Über diese Schaltfläche werden die IOC-Dateien auf das Gerät heruntergeladen.
Bei Erkennung eines IOCs folgende Reaktion anwenden	Das Kontrollkästchen aktiviert oder deaktiviert die Anwendung von Antwort-Reaktionen auf erkannte Anzeichen einer Gefährdung. Wenn das Kontrollkästchen aktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt die Anwendung die von Ihnen ausgewählten Reaktionen aus: Gerät vom Netzwerk isolieren. Wenn dieses Kontrollkästchen aktiviert ist und Anzeichen einer Gefährdung erkannt werden, isoliert die Anwendung das Gerät vom Netzwerk, um eine Ausbreitung der Bedrohung zu verhindern. Sie können die Dauer der Isolation anpassen. Untersuchung wichtiger Bereiche starten. Wenn das Kontrollkästchen aktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt startet die Anwendung die Aufgabe Untersuchung wichtiger Bereiche. Standardmäßig überprüft Kaspersky Endpoint Security den Kernel-Speicher, die gestarteten Prozesse, die Bootsektoren und andere kritische Objekte. /lib/systemd /lib/udev /lib/dbus-1.0 /usr/local/lib/systemd/user /usr/share/dbus-1 /usr/share/gdm/autostart /usr/share/gnome/autostart /var/spool/at /var/spool/at/spool /var/spool/anacron /var/spool/cron /boot /bin /sbin /lib /lib32 /lib64 /libx32 /usr/lib /usr/lib32 /usr/lib64 /usr/libx32 ~/.config/autostart ~/.config/autostart-scripts ~/.config/plasma-workspace/env ~/.config/plasma-workspace/shutdown ~/.config/lxsession ~/.fluxbox/startup ~/.kde/Autostart /etc Wenn dieses Kontrollkästchen deaktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt die Anwendung keine Antwort-Reaktionen aus. Informationen zur Erkennung von Kompromittierungsindikatoren werden sowohl im Fenster mit den Alarmdetails als auch in den Aufgabeneigenschaften angezeigt.

Einstellung

Beschreibung

IOC-Dateien neu definieren

Über diese Schaltfläche wird der Bereich IOC-Dateien neu definieren geöffnet.

Die im Bereich IOC-Dateien neu definieren befindliche Schaltfläche IOC-Dateien hinzufügen öffnet ein Fenster, in dem Sie die für die Suche nach Kompromittierungsindikatoren erforderlich IOC-Dateien auf dem Gerät auswählen und herunterladen können. Nach dem Herunterladen der IOC-Dateien können Sie die Liste der Indikatoren aus den IOC-Dateien anzeigen.

IOC-Sammlung exportieren

Über diese Schaltfläche werden die IOC-Dateien auf das Gerät heruntergeladen.

Bei Erkennung eines IOCs folgende Reaktion anwenden

Das Kontrollkästchen aktiviert oder deaktiviert die Anwendung von Antwort-Reaktionen auf erkannte Anzeichen einer Gefährdung.

Wenn das Kontrollkästchen aktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt die Anwendung die von Ihnen ausgewählten Reaktionen aus:

Gerät vom Netzwerk isolieren.
Wenn dieses Kontrollkästchen aktiviert ist und Anzeichen einer Gefährdung erkannt werden, isoliert die Anwendung das Gerät vom Netzwerk, um eine Ausbreitung der Bedrohung zu verhindern. Sie können die Dauer der Isolation anpassen.
Untersuchung wichtiger Bereiche starten.
Wenn das Kontrollkästchen aktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt startet die Anwendung die Aufgabe Untersuchung wichtiger Bereiche.

Standardmäßig überprüft Kaspersky Endpoint Security den Kernel-Speicher, die gestarteten Prozesse, die Bootsektoren und andere kritische Objekte.
- /lib/systemd
- /lib/udev
- /lib/dbus-1.0
- /usr/local/lib/systemd/user
- /usr/share/dbus-1
- /usr/share/gdm/autostart
- /usr/share/gnome/autostart
- /var/spool/at
- /var/spool/at/spool
- /var/spool/anacron
- /var/spool/cron
- /boot
- /bin
- /sbin
- /lib
- /lib32
- /lib64
- /libx32
- /usr/lib
- /usr/lib32
- /usr/lib64
- /usr/libx32
- ~/.config/autostart
- ~/.config/autostart-scripts
- ~/.config/plasma-workspace/env
- ~/.config/plasma-workspace/shutdown
- ~/.config/lxsession
- ~/.fluxbox/startup
- ~/.kde/Autostart
- /etc

Wenn dieses Kontrollkästchen deaktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt die Anwendung keine Antwort-Reaktionen aus. Informationen zur Erkennung von Kompromittierungsindikatoren werden sowohl im Fenster mit den Alarmdetails als auch in den Aufgabeneigenschaften angezeigt.

Es wird nicht empfohlen, IOC-Dateien nach dem Start der Aufgabe hinzuzufügen oder zu entfernen. Dies kann zu einer fehlerhaften Anzeige von Ergebnissen der IOC-Untersuchung für frühere Aufgabenausführungen führen. Um eine Suche nach Kompromittierungsindikatoren mit neuen IOC-Dateien auszuführen, wird es empfohlen, eine neue Aufgabe hinzuzufügen.

Das Ausführungsergebnis der Aufgabe IOC-Untersuchung können in den Aufgabeneinstellungen auf der Registerkarte Anwendungseigenschaften im Abschnitt Ergebnisse der IOC-Untersuchung angezeigt werden.

Die Tabelle im Abschnitt Ergebnisse der IoC-Untersuchung enthält eine Liste der Geräte, auf denen die Aufgabe IoC-Untersuchung ausgeführt wurde, sowie die Ausführungsergebnisse der Aufgabe. In der Dropdown-Liste Gerät können Sie die Ergebnisse der Aufgabenausführung für alle verwalteten Geräte in der Administrationsgruppe oder für ein bestimmtes Gerät auswählen.

Folgende Spalten sind in der Tabelle enthalten:

Status.
Als Symbol angezeigter Erkennungsstatus der Kompromittierungsindikatoren.
Gerät.
Der Name des Geräts, auf dem die Aufgabe IoC-Untersuchung ausgeführt wurde.
Uhrzeit.
Datum und Uhrzeit der Ausführung der Aufgabe IoC-Untersuchung.
Ergebnisse.
Informationen zum Ergebnis der Aufgabe IoC-Untersuchung. Als Ergebnis der Aufgabenausführung kann einer der folgenden Statuswerte angezeigt werden:
- IOCs erkannt.
  Dieser Status wird als Link angezeigt, der beim Anklicken ein Fenster mit den Alarmdetails öffnet.
- Keine IOCs erkannt.

Zusätzlich kann das Resultat der Aufgabenausführung im Abschnitt Assets (Geräte) → Aufgaben → <Aufgabenname> auf der Registerkarte Ergebnisse in der Spalte Beschreibung angezeigt werden.

Die Aufbewahrungsdauer der Ergebnisse der IOC-Untersuchung beträgt 30 Tage. Danach beginnt Kaspersky Endpoint Security automatisch mit der Löschung alter Einträge.

Nach oben