Suche nach Kompromittierungsindikatoren

Mit der Aufgabe Suche nach Kompromittierungsindikatoren können Sie auf dem Gerät nach Anzeichen einer Kompromittierung suchen und mithilfe der Aufgabe IOC-Untersuchung Maßnahmen ergreifen, um auf eine Bedrohung zu reagieren.

Um nach Anzeichen einer Kompromittierung zu suchen, verwendet Kaspersky Endpoint Security IOC-Dateien, die vom Benutzer erstellt werden müssen. Die IOC-Dateien müssen den Anforderungen an IOC-Dateien entsprechen.

Sie können die Aufgabe IOC-Untersuchung erstellen, ausführen und deren Parameter in der Web Console oder der Kaspersky Security Center Cloud Console ändern:

• Über den Abschnitt Assets (Geräte) → Aufgaben
• Über den Abschnitt Assets (geräte) → Verwaltete Geräte → Link <Name des Geräts> → Aufgaben
• Im Fenster mit den Alarmdetails

Sie können eine Aufgabe zur IOC-Untersuchung nicht über die Befehlszeile erstellen, ausführen oder konfigurieren. Das Anzeigen der über die Web Console oder die Kaspersky Security Center Cloud Console erstellten Aufgabe IoC-Untersuchung ist in der Befehlszeile mit dem Befehl kesl-control --get-task-list nicht möglich.

Für diese Aufgabe ist in den Einstellungen des Zeitplans die Wake-on-LAN-Option nicht verfügbar. Um die Aufgabe auszuführen, stellen Sie sicher, dass das Gerät eingeschaltet ist.

Einstellungen der Aufgabe IoC-Untersuchung

Einstellung	Beschreibung
IOC-Dateien neu definieren	Über diese Schaltfläche wird der Bereich IOC-Dateien neu definieren geöffnet. Die im im Bereich IOC-Dateien neu definieren befindliche Schaltfläche IOC-Dateien hinzufügen öffnet ein Fenster, in dem Sie die für die Suche nach Kompromittierungsindikatoren erforderlich IOC-Dateien auf dem Gerät auswählen und herunterladen können. Nach dem Herunterladen der IOC-Dateien können Sie die Liste der Indikatoren aus den IOC-Dateien anzeigen.
IOC-Sammlung exportieren	Über diese Schaltfläche werden die IOC-Dateien auf das Gerät heruntergeladen.
Anzuwendende Aktion als Reaktion auf ein erkanntes IOC	Das Kontrollkästchen aktiviert oder deaktiviert die Anwendung von Antwort-Reaktionen auf erkannte Anzeichen einer Gefährdung. Wenn das Kontrollkästchen aktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt die App die von Ihnen ausgewählten Reaktionen aus: Gerät vom Netzwerk isolieren. Wenn dieses Kontrollkästchen aktiviert ist und Anzeichen einer Gefährdung erkannt werden, isoliert die App das Gerät vom Netzwerk, um eine Ausbreitung der Bedrohung zu verhindern. Sie können die Dauer der Isolation anpassen. Untersuchung wichtiger Bereiche starten. Wenn das Kontrollkästchen aktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt startet die App die Aufgabe Untersuchung wichtiger Bereiche. Standardmäßig überprüft Kaspersky Endpoint Security den Kernel-Speicher, die gestarteten Prozesse und die Bootsektoren. Wenn dieses Kontrollkästchen deaktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt die App keine Antwort-Reaktionen aus. Informationen zur Erkennung von Kompromittierungsindikatoren werden sowohl im Fenster mit den Alarmdetails als auch in den Aufgabeneigenschaften angezeigt.
Untersuchungsbereiche	Es werden die Bereiche der Dateiuntersuchung angezeigt: wichtige Bereiche von Systemlaufwerken und der Pfad aus dem IOC.

Es wird nicht empfohlen, IOC-Dateien nach dem Start der Aufgabe hinzuzufügen oder zu entfernen. Dies kann zu einer fehlerhaften Anzeige von Ergebnissen der IOC-Untersuchung für frühere Aufgabenausführungen führen. Um eine Suche nach Kompromittierungsindikatoren mit neuen IOC-Dateien auszuführen, wird es empfohlen, eine neue Aufgabe hinzuzufügen.

Das Ausführungsergebnis der Aufgabe IoC-Untersuchung kann im Abschnitt Assets (Geräte) → Aufgaben → <Aufgabenname> → App-Einstellungen → Ergebnisse der IoC-Untersuchung angezeigt werden.

Die Tabelle im Abschnitt Ergebnisse der IoC-Untersuchung enthält eine Liste der Geräte, auf denen die Aufgabe IoC-Untersuchung ausgeführt wurde, sowie die Ausführungsergebnisse der Aufgabe. In der Dropdown-Liste Gerät können Sie die Ergebnisse der Aufgabenausführung für alle verwalteten Geräte in der Administrationsgruppe oder für ein bestimmtes Gerät auswählen.

Folgende Spalten sind in der Tabelle enthalten:

• Status.

  Als Symbol angezeigter Erkennungsstatus der Kompromittierungsindikatoren.

• Gerät.

  Der Name des Geräts, auf dem die Aufgabe IoC-Untersuchung ausgeführt wurde.

• Uhrzeit.

  Datum und Uhrzeit der Ausführung der Aufgabe IoC-Untersuchung.

• Ergebnisse.

  Informationen zum Ergebnis der Aufgabe IoC-Untersuchung. Als Ergebnis der Aufgabenausführung kann einer der folgenden Statuswerte angezeigt werden:

  • IOCs erkannt

    Dieser Status wird als Link angezeigt, der beim Anklicken ein Fenster mit den Alarmdetails öffnet.

  • Keine IOCs erkannt.

Zusätzlich kann das Resultat der Aufgabenausführung im Abschnitt Assets (Geräte) → Aufgaben → <Aufgabenname> auf der Registerkarte Ergebnisse in der Spalte Beschreibung angezeigt werden.

Die Aufbewahrungsdauer der Ergebnisse der IoC-Untersuchung beträgt 30 Tage. Danach beginnt Kaspersky Endpoint Security automatisch mit der Löschung alter Einträge.

Nach oben