Mit der Aufgabe Suche nach Kompromittierungsindikatoren können Sie auf dem Gerät nach Anzeichen einer Kompromittierung suchen und mithilfe der Aufgabe IOC-Untersuchung Maßnahmen ergreifen, um auf eine Bedrohung zu reagieren.
Um nach Anzeichen einer Kompromittierung zu suchen, verwendet Kaspersky Endpoint Security IOC-Dateien, die vom Benutzer erstellt werden müssen. Die IOC-Dateien müssen den Anforderungen an IOC-Dateien entsprechen.
Sie können die Aufgabe IOC-Untersuchung erstellen, ausführen und deren Parameter in der Web Console oder der Kaspersky Security Center Cloud Console ändern:
Sie können eine Aufgabe zur IOC-Untersuchung nicht über die Befehlszeile erstellen, ausführen oder konfigurieren. Das Anzeigen der über die Web Console oder die Kaspersky Security Center Cloud Console erstellten Aufgabe IoC-Untersuchung ist in der Befehlszeile mit dem Befehl kesl-control
--get-task-list
nicht möglich.
Für diese Aufgabe ist in den Einstellungen des Zeitplans die Wake-on-LAN-Option nicht verfügbar. Um die Aufgabe auszuführen, stellen Sie sicher, dass das Gerät eingeschaltet ist.
Einstellungen der Aufgabe IoC-Untersuchung
Einstellung |
Beschreibung |
---|---|
IOC-Dateien neu definieren |
Über diese Schaltfläche wird der Bereich IOC-Dateien neu definieren geöffnet. Die im im Bereich IOC-Dateien neu definieren befindliche Schaltfläche IOC-Dateien hinzufügen öffnet ein Fenster, in dem Sie die für die Suche nach Kompromittierungsindikatoren erforderlich IOC-Dateien auf dem Gerät auswählen und herunterladen können. Nach dem Herunterladen der IOC-Dateien können Sie die Liste der Indikatoren aus den IOC-Dateien anzeigen. |
IOC-Sammlung exportieren |
Über diese Schaltfläche werden die IOC-Dateien auf das Gerät heruntergeladen. |
Anzuwendende Aktion als Reaktion auf ein erkanntes IOC |
Das Kontrollkästchen aktiviert oder deaktiviert die Anwendung von Antwort-Reaktionen auf erkannte Anzeichen einer Gefährdung. Wenn das Kontrollkästchen aktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt die App die von Ihnen ausgewählten Reaktionen aus:
Wenn dieses Kontrollkästchen deaktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt die App keine Antwort-Reaktionen aus. Informationen zur Erkennung von Kompromittierungsindikatoren werden sowohl im Fenster mit den Alarmdetails als auch in den Aufgabeneigenschaften angezeigt. |
Untersuchungsbereiche |
Es werden die Bereiche der Dateiuntersuchung angezeigt: wichtige Bereiche von Systemlaufwerken und der Pfad aus dem IOC. |
Es wird nicht empfohlen, IOC-Dateien nach dem Start der Aufgabe hinzuzufügen oder zu entfernen. Dies kann zu einer fehlerhaften Anzeige von Ergebnissen der IOC-Untersuchung für frühere Aufgabenausführungen führen. Um eine Suche nach Kompromittierungsindikatoren mit neuen IOC-Dateien auszuführen, wird es empfohlen, eine neue Aufgabe hinzuzufügen.
Das Ausführungsergebnis der Aufgabe IoC-Untersuchung kann im Abschnitt Assets (Geräte) → Aufgaben → <Aufgabenname> → App-Einstellungen → Ergebnisse der IoC-Untersuchung angezeigt werden.
Die Tabelle im Abschnitt Ergebnisse der IoC-Untersuchung enthält eine Liste der Geräte, auf denen die Aufgabe IoC-Untersuchung ausgeführt wurde, sowie die Ausführungsergebnisse der Aufgabe. In der Dropdown-Liste Gerät können Sie die Ergebnisse der Aufgabenausführung für alle verwalteten Geräte in der Administrationsgruppe oder für ein bestimmtes Gerät auswählen.
Folgende Spalten sind in der Tabelle enthalten:
Als Symbol angezeigter Erkennungsstatus der Kompromittierungsindikatoren.
Der Name des Geräts, auf dem die Aufgabe IoC-Untersuchung ausgeführt wurde.
Datum und Uhrzeit der Ausführung der Aufgabe IoC-Untersuchung.
Informationen zum Ergebnis der Aufgabe IoC-Untersuchung. Als Ergebnis der Aufgabenausführung kann einer der folgenden Statuswerte angezeigt werden:
Dieser Status wird als Link angezeigt, der beim Anklicken ein Fenster mit den Alarmdetails öffnet.
Zusätzlich kann das Resultat der Aufgabenausführung im Abschnitt Assets (Geräte) → Aufgaben → <Aufgabenname> auf der Registerkarte Ergebnisse in der Spalte Beschreibung angezeigt werden.
Die Aufbewahrungsdauer der Ergebnisse der IoC-Untersuchung beträgt 30 Tage. Danach beginnt Kaspersky Endpoint Security automatisch mit der Löschung alter Einträge.
Nach oben