搜索入侵指标

您可以使用IOC 扫描任务搜索设备上的入侵指标并执行威胁响应操作。

为了搜索入侵指标， Kaspersky Endpoint Security 使用用户准备的IOC 文件。IOC 文件必须符合IOC 文件要求。

您可以创建和运行IoC 扫描任务，以及在 Web Console 中编辑其设置：

• 在资产（设备） →任务部分
• 在资产（设备） →受管理设备 →<设备名称>链接 →任务部分
• 在警报详情窗口中

您无法在命令行上创建、运行或配置IOC 扫描任务。您无法使用kesl-control --get-task-list命令在命令行上查看在 Web Console 中创建的IOC 扫描任务。

在计划设置中，此任务不提供局域网唤醒功能。为了运行任务，请确保设备已打开电源。

IOC 扫描任务设置

设置	描述
重新定义 IOC 文件	此按钮可打开重新定义 IOC 文件窗格。 单击“重新定义 IOC 文件”面板中的“添加 IOC 文件”按钮将打开一个窗口，您可以在其中选择并下载设备上搜索入侵指标所需的 IOC 文件。上传 IOC 文件后，您可以查看 IOC 文件中的指标列表。
导出 IOC 集合	单击此按钮可将 IOC 文件下载到设备。
检测到 IOC 时应用响应操作	此复选框可启用或禁用在检测到入侵指标时应用响应操作。 如果选中该复选框，则当检测到入侵指标时，应用程序将执行您选择的操作： 将设备从网络中隔离。 如果选中此复选框，则当检测到入侵指标时，应用程序会将设备与网络隔离，以防止威胁蔓延。您可以配置隔离时长。 开始关键区域扫描。 如果选中此复选框，则当检测到入侵指标时，应用程序将启动关键区域扫描任务。 默认情况下，Kaspersky Endpoint Security 会扫描内核内存、正在运行的进程和引导扇区。 如果清除该复选框，则应用程序在检测到入侵指标时不会执行任何响应操作。有关检测到的入侵指标的信息显示在警报详情窗口和任务属性中。
扫描范围	显示文件扫描区域：系统磁盘的关键区域和来自 IOC 的路径。

我们不建议在开始此任务后添加或删除 IOC 文件。这可能会导致该任务之前运行的 IOC 扫描结果显示不正确。我们建议添加一个新任务来基于新的 IOC 文件运行 IOC 扫描。

您可以在资产（设备）部分 →任务→ <任务名称> →应用程序设置→ IOC 扫描结果中看到IOC 扫描的结果。

IOC 扫描结果部分中的表格包含已运行IOC 扫描任务的设备列表以及任务的结果。在设备下拉列表中，您可以选择管理组中所有受管理设备或特定设备的任务结果。

该表包含以下列：

• 状态。

  入侵指标检测状态，以图标形式显示。

• 主机。

  运行IOC 扫描任务的设备的名称。

• 时间。

  执行IOC 扫描任务的日期和时间。

• 结果。

  有关IOC 扫描任务结果的信息。已完成的任务可以具有以下状态之一：

  • 检测到 IOC。

    此状态显示为一个链接；单击链接将打开一个包含警报详情的窗口。

  • 未检测到 IOC

您也可以在资产（设备） →任务→ <任务名称> 部分的“结果”选项卡的“描述”列中查看任务的结果。

IOC 扫描结果保存 30 天。此时间过后，Kaspersky Endpoint Security 会自动删除旧条目。

页面顶部