在 Web Console 中搜索入侵指标

仅当与 Kaspersky Endpoint Detection and Response Optimum 集成时,您才可以在 Web Console 中使用 IOC 扫描任务来扫描入侵指标。与 Kaspersky Endpoint Detection and Response (KATA) 集成时,在 Kaspersky Endpoint Detection and Response (KATA) 解决方案端执行 IOC 扫描。

您可以创建运行IoC 扫描任务,以及在 Web Console 中编辑其设置。

对于IOC 扫描任务,计划设置中不提供 LAN 唤醒功能。为了运行任务,请确保设备已打开电源。

您可以在应用程序设置选项卡→ IOC 扫描设置的任务属性中更改IOC 扫描任务的主要设置。

IOC 扫描任务设置

设置

描述

重新定义 IOC 文件

此按钮可打开重新定义 IOC 文件窗格。

单击“重新定义 IOC 文件”面板中的“添加 IOC 文件”按钮将打开一个窗口,您可以在其中选择并下载设备上搜索入侵指标所需的 IOC 文件。上传 IOC 文件后,您可以查看 IOC 文件中的指标列表。

导出 IOC 集合

单击此按钮可将 IOC 文件下载到设备。

检测到 IOC 时应用响应操作

此复选框可启用或禁用在检测到入侵指标时应用响应操作。

如果选中该复选框,则当检测到入侵指标时,应用程序将执行您选择的操作:

  • 将设备从网络中隔离

    如果选中此复选框,则当检测到入侵指标时,应用程序会将设备与网络隔离,以防止威胁蔓延。您可以配置隔离时长

    如果该策略适用于隔离设备,则会应用策略属性中指定的在指定时间段后自动禁用隔离网络隔离排除项设置。如果该策略不适用于隔离设备,则应用设备属性中指定的设置。

  • 隔离副本,删除对象

    如果选中该复选框,当检测到入侵指标时,应用程序将隔离对象的副本并删除原始对象。

  • 开始关键区域扫描

    如果选中此复选框,则当检测到入侵指标时,应用程序将启动关键区域扫描任务。

    默认情况下,Kaspersky Endpoint Security 会扫描内核内存、正在运行的进程、引导扇区和其他关键区域

如果清除该复选框,则应用程序在检测到入侵指标时不会执行任何响应操作。有关检测到的入侵指标的信息显示在警报详情窗口和任务属性中。

您可以在应用程序设置选项卡→ 其他的任务属性中更改IOC 扫描任务的其他设置。

如果您已在重新定义 IOC 文件面板中加载了 IOC 文件,则可以编辑其他部分。

IOC 扫描任务的其他设置

设置

描述

IOC 扫描期间要分析的数据类型(IOC 文档)

其他部分中的复选框包括 IOC 扫描期间分析的以下数据类型( IOC 文档):

  • 进程 - ProcessItem
  • 文件 – FileItem
    • IOC 文档

    如果您已在重新定义 IOC 文件面板中加载了 IOC 文件,则可以使用IOC 文档链接。此链接将带您进入文件扫描设置 - FileItem 窗口,您可以在其中添加扫描范围。

  • ARP 表格 – ArpEntryItem
  • 网络端口 - PortItem
  • 用户账户 – UserItem
  • 系统对象 – SystemItem

扫描预定义区域

该复选框可启用或禁用以下预定义范围的检查:

  • 设备所有驱动器上的文件
  • 设备的系统驱动器上的文件
  • 设备上的关键区域

扫描自定义区域

该复选框可将复选框下方表格中列出的范围添加到扫描范围列表中。

您可以通过单击添加按钮来添加您想要扫描的范围的路径。在打开的窗口中,在范围字段中输入范围的路径并保存更改。

您可以从表中删除范围,方法是选中要删除的范围旁边的复选框,然后单击“删除”按钮。

我们不建议在开始此任务后添加或删除 IOC 文件。这可能会导致该任务之前运行的 IOC 扫描结果显示不正确。我们建议创建一个新任务来基于新的 IOC 文件运行 IOC 扫描。

您可以在 Web Console 中应用程序设置IOC 扫描结果下的任务属性中查看IOC 扫描任务的结果。该表显示已运行IOC 扫描任务的设备的列表,以及该任务的结果。在设备下拉列表中,您可以选择显示已运行该任务的所有受管理设备或特定设备的任务结果。

该表包含以下信息:

IOC 扫描结果保存 30 天。此时间过后,Kaspersky Endpoint Security 会自动删除旧条目。

页面顶部