Вы можете выполнять поиск индикаторов компрометации с помощью задачи поиска IOC в Web Console только при интеграции с Kaspersky Endpoint Detection and Response Optimum. При интеграции с Kaspersky Endpoint Detection and Response (KATA) поиск IOC выполняется на стороне решения Kaspersky Endpoint Detection and Response (KATA).
Вы можете создавать и запускать задачу Поиск IOC, а также изменять ее параметры в Web Console.
Для задачи Поиск IOC функция Wake-on-LAN в параметрах расписания недоступна. Убедитесь, что устройство включено для выполнения задачи.
Вы можете изменять основные параметры задачи Поиск IOC в свойствах задачи на закладке Параметры приложения → Параметры поиска IOC.
Параметры задачи Поиск IOC
Параметр |
Описание |
---|---|
Переопределить IOC-файлы |
При нажатии на кнопку открывается панель Переопределить IOC-файлы. При нажатии на кнопку Добавить IOC-файлы, расположенную в панели Переопределить IOC-файлы, открывается окно, с помощью которого вы можете выбрать на устройстве и загрузить IOC-файлы, необходимые для поиска индикаторов компрометации. После загрузки IOC-файлов вы можете просмотреть список индикаторов из IOC-файлов. |
Экспортировать IOC-коллекцию |
При нажатии на кнопку выполняется скачивание IOC-файлов на устройство. |
Применять действия по реагированию при обнаружении IOC |
Флажок включает или выключает применение действий по реагированию при обнаружении индикаторов компрометации. Если флажок установлен, то при обнаружении индикаторов компрометации приложение выполняет выбранные вами действия:
Если флажок снят, то при обнаружении индикаторов компрометации приложение не выполняет действия по реагированию. Информация об обнаружении индикаторов компрометации отображается в окне с деталями алерта и в свойствах задачи. |
Вы можете изменять дополнительные параметры задачи Поиск IOC в свойствах задачи на закладке Параметры приложения → Дополнительно.
Раздел Дополнительно доступен для редактирования если вы загрузили IOC-файл в панели Переопределить IOC-файлы.
Дополнительные параметры задачи Поиск IOC
Параметр |
Описание |
---|---|
Типы данных (IOC-документы) для анализа во время поиска IOC |
Флажки в разделе Дополнительно добавляют следующие типы данных (IOC-документы) для анализа во время поиска IOC:
|
Проверять предопределенные области |
Флажок включает или выключает проверку следующих предопределенных областей:
|
Проверять указанные области |
Флажок добавляет области, перечисленные в таблице под флажком, в перечень областей проверки. Вы можете добавить путь к области, которую нужно проверять, нажав на кнопку Добавить. В открывшемся окне введите путь к области в поле Область и сохраните изменения. Вы можете удалить область из таблицы, установив флажок напротив удаляемой области, а затем нажав на кнопку Удалить. |
Не рекомендуется добавлять или удалять IOC-файлы после запуска задачи. Это может привести к некорректному отображению результатов поиска IOC для предыдущих запусков задачи. Для поиска индикаторов компрометации по новым IOC-файлам рекомендуется создавать новые задачи.
Вы можете посмотреть результат выполнения задачи Поиск IOC в свойствах задачи в Web Console в разделе Параметры приложения → Результаты поиска IOC. В таблице отображается список устройств, на которых выполнена задача Поиск IOC, а также результаты выполнения задачи. В раскрывающемся списке Устройство вы можете выбрать отображение результатов задачи для всех управляемых устройств, на которых запускалась задача, или для конкретного устройства.
Таблица содержит следующие сведения:
Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.
В начало