Поиск индикаторов компрометации в Web Console

Вы можете выполнять поиск индикаторов компрометации с помощью задачи поиска IOC в Web Console только при интеграции с Kaspersky Endpoint Detection and Response Optimum. При интеграции с Kaspersky Endpoint Detection and Response (KATA) поиск IOC выполняется на стороне решения Kaspersky Endpoint Detection and Response (KATA).

Вы можете создавать и запускать задачу Поиск IOC, а также изменять ее параметры в Web Console.

Для задачи Поиск IOC функция Wake-on-LAN в параметрах расписания недоступна. Убедитесь, что устройство включено для выполнения задачи.

Вы можете изменять основные параметры задачи Поиск IOC в свойствах задачи на закладке Параметры приложения → Параметры поиска IOC.

Параметры задачи Поиск IOC

Параметр	Описание
Переопределить IOC-файлы	При нажатии на кнопку открывается панель Переопределить IOC-файлы. При нажатии на кнопку Добавить IOC-файлы, расположенную в панели Переопределить IOC-файлы, открывается окно, с помощью которого вы можете выбрать на устройстве и загрузить IOC-файлы, необходимые для поиска индикаторов компрометации. После загрузки IOC-файлов вы можете просмотреть список индикаторов из IOC-файлов.
Экспортировать IOC-коллекцию	При нажатии на кнопку выполняется скачивание IOC-файлов на устройство.
Применять действия по реагированию при обнаружении IOC	Флажок включает или выключает применение действий по реагированию при обнаружении индикаторов компрометации. Если флажок установлен, то при обнаружении индикаторов компрометации приложение выполняет выбранные вами действия: Изолировать устройство от сети. Если флажок установлен, то при обнаружении индикаторов компрометации приложение изолирует устройство от сети для предотвращения распространения угрозы. Вы можете настроить время изоляции. Если на изолируемое устройство распространяется действие политики, то применяются параметры автоматического отключения изоляции через указанный период, а также параметры исключений из сетевой изоляции, заданные в свойствах политики. Если на изолируемое устройство действие политики не распространяется, то применяются параметры, заданные в свойствах устройства. Поместить копию на карантин, объект удалить. Если флажок установлен, то при обнаружении индикаторов компрометации приложение помещает копию объекта на карантин и удаляет исходный объект. Запускать проверку важных областей. Если флажок установлен, то при обнаружении индикаторов компрометации приложение запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы, загрузочные секторы и другие важные области. /lib/systemd /lib/udev /lib/dbus-1.0 /usr/local/lib/systemd/user /usr/share/dbus-1 /usr/share/gdm/autostart /usr/share/gnome/autostart /var/spool/at /var/spool/at/spool /var/spool/anacron /var/spool/cron /boot /bin /sbin /lib /lib32 /lib64 /libx32 /usr/lib /usr/lib32 /usr/lib64 /usr/libx32 ~/.config/autostart ~/.config/autostart-scripts ~/.config/plasma-workspace/env ~/.config/plasma-workspace/shutdown ~/.config/lxsession ~/.fluxbox/startup ~/.kde/Autostart /etc Если флажок снят, то при обнаружении индикаторов компрометации приложение не выполняет действия по реагированию. Информация об обнаружении индикаторов компрометации отображается в окне с деталями алерта и в свойствах задачи.

Параметр

Описание

Переопределить IOC-файлы

При нажатии на кнопку открывается панель Переопределить IOC-файлы.

При нажатии на кнопку Добавить IOC-файлы, расположенную в панели Переопределить IOC-файлы, открывается окно, с помощью которого вы можете выбрать на устройстве и загрузить IOC-файлы, необходимые для поиска индикаторов компрометации. После загрузки IOC-файлов вы можете просмотреть список индикаторов из IOC-файлов.

Экспортировать IOC-коллекцию

При нажатии на кнопку выполняется скачивание IOC-файлов на устройство.

Применять действия по реагированию при обнаружении IOC

Флажок включает или выключает применение действий по реагированию при обнаружении индикаторов компрометации.

Если флажок установлен, то при обнаружении индикаторов компрометации приложение выполняет выбранные вами действия:

Изолировать устройство от сети.
Если флажок установлен, то при обнаружении индикаторов компрометации приложение изолирует устройство от сети для предотвращения распространения угрозы. Вы можете настроить время изоляции.

Если на изолируемое устройство распространяется действие политики, то применяются параметры автоматического отключения изоляции через указанный период, а также параметры исключений из сетевой изоляции, заданные в свойствах политики. Если на изолируемое устройство действие политики не распространяется, то применяются параметры, заданные в свойствах устройства.
Поместить копию на карантин, объект удалить.
Если флажок установлен, то при обнаружении индикаторов компрометации приложение помещает копию объекта на карантин и удаляет исходный объект.
Запускать проверку важных областей.
Если флажок установлен, то при обнаружении индикаторов компрометации приложение запускает задачу Проверка важных областей.

По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы, загрузочные секторы и другие важные области.
- /lib/systemd
- /lib/udev
- /lib/dbus-1.0
- /usr/local/lib/systemd/user
- /usr/share/dbus-1
- /usr/share/gdm/autostart
- /usr/share/gnome/autostart
- /var/spool/at
- /var/spool/at/spool
- /var/spool/anacron
- /var/spool/cron
- /boot
- /bin
- /sbin
- /lib
- /lib32
- /lib64
- /libx32
- /usr/lib
- /usr/lib32
- /usr/lib64
- /usr/libx32
- ~/.config/autostart
- ~/.config/autostart-scripts
- ~/.config/plasma-workspace/env
- ~/.config/plasma-workspace/shutdown
- ~/.config/lxsession
- ~/.fluxbox/startup
- ~/.kde/Autostart
- /etc

Если флажок снят, то при обнаружении индикаторов компрометации приложение не выполняет действия по реагированию. Информация об обнаружении индикаторов компрометации отображается в окне с деталями алерта и в свойствах задачи.

Вы можете изменять дополнительные параметры задачи Поиск IOC в свойствах задачи на закладке Параметры приложения → Дополнительно.

Раздел Дополнительно доступен для редактирования если вы загрузили IOC-файл в панели Переопределить IOC-файлы.

Дополнительные параметры задачи Поиск IOC

Параметр	Описание
Типы данных (IOC-документы) для анализа во время поиска IOC	Флажки в разделе Дополнительно добавляют следующие типы данных (IOC-документы) для анализа во время поиска IOC: Процессы - ProcessItem. Файлы - FileItem. IOC-документы. Ссылка IOC-документы доступна если вы загрузили IOC-файл в панели Переопределить IOC-файлы. По этой ссылке вы можете перейти в окно Параметры проверки файлов – FileItem, в котором вы можете добавить области проверки. ARP-таблицы - ArpEntryItem. Сетевые порты - PortItem. Учетные записи пользователей - UserItem. Системные объекты - SystemItem.
Проверять предопределенные области	Флажок включает или выключает проверку следующих предопределенных областей: Файлы на всех дисках устройства. Файлы на системных дисках устройства. Важные области на устройстве.
Проверять указанные области	Флажок добавляет области, перечисленные в таблице под флажком, в перечень областей проверки. Вы можете добавить путь к области, которую нужно проверять, нажав на кнопку Добавить. В открывшемся окне введите путь к области в поле Область и сохраните изменения. Вы можете удалить область из таблицы, установив флажок напротив удаляемой области, а затем нажав на кнопку Удалить.

Параметр

Описание

Типы данных (IOC-документы) для анализа во время поиска IOC

Флажки в разделе Дополнительно добавляют следующие типы данных (IOC-документы) для анализа во время поиска IOC:

Процессы - ProcessItem.
Файлы - FileItem.
- IOC-документы.
Ссылка IOC-документы доступна если вы загрузили IOC-файл в панели Переопределить IOC-файлы. По этой ссылке вы можете перейти в окно Параметры проверки файлов – FileItem, в котором вы можете добавить области проверки.
ARP-таблицы - ArpEntryItem.
Сетевые порты - PortItem.
Учетные записи пользователей - UserItem.
Системные объекты - SystemItem.

Проверять предопределенные области

Флажок включает или выключает проверку следующих предопределенных областей:

Файлы на всех дисках устройства.
Файлы на системных дисках устройства.
Важные области на устройстве.

Проверять указанные области

Флажок добавляет области, перечисленные в таблице под флажком, в перечень областей проверки.

Вы можете добавить путь к области, которую нужно проверять, нажав на кнопку Добавить. В открывшемся окне введите путь к области в поле Область и сохраните изменения.

Вы можете удалить область из таблицы, установив флажок напротив удаляемой области, а затем нажав на кнопку Удалить.

Не рекомендуется добавлять или удалять IOC-файлы после запуска задачи. Это может привести к некорректному отображению результатов поиска IOC для предыдущих запусков задачи. Для поиска индикаторов компрометации по новым IOC-файлам рекомендуется создавать новые задачи.

Вы можете посмотреть результат выполнения задачи Поиск IOC в свойствах задачи в Web Console в разделе Параметры приложения → Результаты поиска IOC. В таблице отображается список устройств, на которых выполнена задача Поиск IOC, а также результаты выполнения задачи. В раскрывающемся списке Устройство вы можете выбрать отображение результатов задачи для всех управляемых устройств, на которых запускалась задача, или для конкретного устройства.

Таблица содержит следующие сведения:

Статус – статус обнаружения индикаторов компрометации, отображающийся в виде значка.
Устройство – имя устройства, на котором запускалась задача.
Время – дата и время выполнения задачи.
Результаты – информация о результате выполнения задачи Поиск IOC. Может отображаться один из следующих статусов:
- обнаружены IOC – отображается в виде ссылки, при переходе по которой открывается окно с деталями алерта;
- IOC не обнаружены.

Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.

В начало