Поиск индикаторов компрометации

Вы можете выполнять поиск индикаторов компрометации на устройстве, а также выполнять действия по реагированию на угрозы с помощью задачи Поиск IOC.

Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы, подготовленные пользователем. IOC-файлы должны соответствовать требованиям к IOC-файлам.

Вы можете создавать и запускать задачу Поиск IOC, а также изменять ее параметры в Web Console:

Вы не можете создавать, запускать или настраивать задачу Поиск IOC с помощью командной строки. Просмотр задачи Поиск IOC, созданной в Web Console, недоступен по команде kesl-control --get-task-list в командной строке.

Для этой задачи функция Wake-on-LAN в параметрах расписания недоступна. Убедитесь, что устройство включено для выполнения задачи.

Параметры задачи Поиск IOC

Параметр

Описание

Переопределить IOC-файлы

При нажатии на кнопку открывается панель Переопределить IOC-файлы.

При нажатии на кнопку Добавить IOC-файлы, расположенную в панели Переопределить IOC-файлы, открывается окно, с помощью которого вы можете выбрать на устройстве и загрузить IOC-файлы, необходимые для поиска индикаторов компрометации. После загрузки IOC-файлов вы можете просмотреть список индикаторов из IOC-файлов.

Экспортировать IOC-коллекцию

При нажатии на кнопку выполняется скачивание IOC-файлов на устройство.

Применять действия по реагированию при обнаружении IOC

Флажок включает или выключает применение действий по реагированию при обнаружении индикаторов компрометации.

Если флажок установлен, то при обнаружении индикаторов компрометации приложение выполняет выбранные вами действия:

  • Изолировать устройство от сети.

    Если флажок установлен, то при обнаружении индикаторов компрометации приложение изолирует устройство от сети для предотвращения распространения угрозы. Вы можете настроить время изоляции.

  • Запускать проверку важных областей.

    Если флажок установлен, то при обнаружении индикаторов компрометации приложение запускает задачу Проверка важных областей.

    По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.

Если флажок снят, то при обнаружении индикаторов компрометации приложение не выполняет действия по реагированию. Информация об обнаружении индикаторов компрометации отображается в окне с деталями алерта и в свойствах задачи.

Не рекомендуется добавлять или удалять IOC-файлы после запуска задачи. Это может привести к некорректному отображению результатов поиска IOC для предыдущих запусков задачи. Для поиска индикаторов компрометации по новым IOC-файлам рекомендуется добавлять новые задачи.

Результат выполнения задачи Поиск IOC можно посмотреть в свойствах задачи на закладке Параметры приложения в разделе Результаты поиcка IOC.

Таблица в разделе Результаты поиcка IOC содержит список устройств, на которых выполнена задача Поиск IOC, а также результаты выполнения задачи. В раскрывающемся списке Устройство вы можете выбрать результаты выполнения задачи для всех управляемых устройств группы администрирования или для конкретного устройства.

Таблица содержит следующие столбцы:

Также результат выполнения задачи можно посмотреть в разделе Активы (Устройства)Задачи → <название задачи> на закладке Результаты в столбце Описание.

Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.

В начало