Über die Web Console nach Kompromittierungsindikatoren suchen

Nur bei einer Integration mit Kaspersky Endpoint Detection and Response Optimum können Sie Suche nach Kompromittierungsindikatoren anhand der IOC-Untersuchungsaufgabe in der Web Console ausführen. Bei einer Integration mit Kaspersky Endpoint Detection and Response (KATA) wird die IOC-Untersuchung in Kaspersky Endpoint Detection and Response (KATA) ausgeführt.

Sie können die Aufgabe IoC-Untersuchung in der Web Console erstellen, ausführen und deren Parameter ändern.

Für die Aufgabe IOC-Untersuchung ist in den Einstellungen des Zeitplans die Option für Wake-on-LAN nicht verfügbar. Um die Aufgabe auszuführen, stellen Sie sicher, dass das Gerät eingeschaltet ist.

Sie können die wichtigsten Parameter der Aufgabe IOC-Untersuchung in den Eigenschaften der Aufgabe auf der Registerkarte Anwendungseinstellungen → Einstellungen der IOC-Untersuchung ändern.

Einstellungen der Aufgabe IOC-Untersuchung

Einstellung	Beschreibung
IOC-Dateien neu definieren	Über diese Schaltfläche wird der Bereich IOC-Dateien neu definieren geöffnet. Die im Bereich IOC-Dateien neu definieren befindliche Schaltfläche IOC-Dateien hinzufügen öffnet ein Fenster, in dem Sie die für die Suche nach Kompromittierungsindikatoren erforderlich IOC-Dateien auf dem Gerät auswählen und herunterladen können. Nach dem Herunterladen der IOC-Dateien können Sie die Liste der Indikatoren aus den IOC-Dateien anzeigen.
IOC-Sammlung exportieren	Über diese Schaltfläche werden die IOC-Dateien auf das Gerät heruntergeladen.
Bei Erkennung eines IOCs folgende Reaktion anwenden	Das Kontrollkästchen aktiviert oder deaktiviert die Anwendung von Antwort-Reaktionen auf erkannte Anzeichen einer Gefährdung. Wenn das Kontrollkästchen aktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt die Anwendung die von Ihnen ausgewählten Reaktionen aus: Untersuchung wichtiger Bereiche starten. Wenn das Kontrollkästchen aktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt startet die Anwendung die Aufgabe Untersuchung wichtiger Bereiche. Standardmäßig überprüft Kaspersky Endpoint Security den Kernel-Speicher, die gestarteten Prozesse, die Bootsektoren und andere kritische Objekte. /lib/systemd /lib/udev /lib/dbus-1.0 /usr/local/lib/systemd/user /usr/share/dbus-1 /usr/share/gdm/autostart /usr/share/gnome/autostart /var/spool/at /var/spool/at/spool /var/spool/anacron /var/spool/cron /boot /bin /sbin /lib /lib32 /lib64 /libx32 /usr/lib /usr/lib32 /usr/lib64 /usr/libx32 ~/.config/autostart ~/.config/autostart-scripts ~/.config/plasma-workspace/env ~/.config/plasma-workspace/shutdown ~/.config/lxsession ~/.fluxbox/startup ~/.kde/Autostart /etc Kopie in die Quarantäne verschieben, Objekt löschen. Wenn das Kontrollkästchen aktiviert ist und Kompromittierungsindikatoren erkannt werden, speichert die Anwendung eine Kopie des Objekts in der Quarantäne und löscht das Originalobjekt. Gerät vom Netzwerk isolieren. Wenn dieses Kontrollkästchen aktiviert ist und Anzeichen einer Gefährdung erkannt werden, isoliert die Anwendung das Gerät vom Netzwerk, um eine Ausbreitung der Bedrohung zu verhindern. Sie können die Dauer der Isolation anpassen. Wenn das isolierte Gerät von einer Richtlinie abgedeckt wird, werden sowohl die Parameter für das automatische Ausschalten der Isolierung nach einem bestimmten Zeitraum als auch die in den Richtlinieneigenschaften angegebenen Parameter für die Ausschlüsse aus der Netzwerkisolation angewendet. Wenn das isolierte Gerät nicht von der Richtlinie abgedeckt ist, werden die in den Geräteeigenschaften angegebenen Parameter angewendet. Wenn dieses Kontrollkästchen deaktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt die Anwendung keine Antwort-Reaktionen aus. Informationen zur Erkennung von Kompromittierungsindikatoren werden sowohl im Fenster mit den Alarmdetails als auch in den Aufgabeneigenschaften angezeigt.

Einstellung

Beschreibung

IOC-Dateien neu definieren

Über diese Schaltfläche wird der Bereich IOC-Dateien neu definieren geöffnet.

Die im Bereich IOC-Dateien neu definieren befindliche Schaltfläche IOC-Dateien hinzufügen öffnet ein Fenster, in dem Sie die für die Suche nach Kompromittierungsindikatoren erforderlich IOC-Dateien auf dem Gerät auswählen und herunterladen können. Nach dem Herunterladen der IOC-Dateien können Sie die Liste der Indikatoren aus den IOC-Dateien anzeigen.

IOC-Sammlung exportieren

Über diese Schaltfläche werden die IOC-Dateien auf das Gerät heruntergeladen.

Bei Erkennung eines IOCs folgende Reaktion anwenden

Das Kontrollkästchen aktiviert oder deaktiviert die Anwendung von Antwort-Reaktionen auf erkannte Anzeichen einer Gefährdung.

Wenn das Kontrollkästchen aktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt die Anwendung die von Ihnen ausgewählten Reaktionen aus:

Untersuchung wichtiger Bereiche starten.
Wenn das Kontrollkästchen aktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt startet die Anwendung die Aufgabe Untersuchung wichtiger Bereiche.

Standardmäßig überprüft Kaspersky Endpoint Security den Kernel-Speicher, die gestarteten Prozesse, die Bootsektoren und andere kritische Objekte.
- /lib/systemd
- /lib/udev
- /lib/dbus-1.0
- /usr/local/lib/systemd/user
- /usr/share/dbus-1
- /usr/share/gdm/autostart
- /usr/share/gnome/autostart
- /var/spool/at
- /var/spool/at/spool
- /var/spool/anacron
- /var/spool/cron
- /boot
- /bin
- /sbin
- /lib
- /lib32
- /lib64
- /libx32
- /usr/lib
- /usr/lib32
- /usr/lib64
- /usr/libx32
- ~/.config/autostart
- ~/.config/autostart-scripts
- ~/.config/plasma-workspace/env
- ~/.config/plasma-workspace/shutdown
- ~/.config/lxsession
- ~/.fluxbox/startup
- ~/.kde/Autostart
- /etc
Kopie in die Quarantäne verschieben, Objekt löschen.
Wenn das Kontrollkästchen aktiviert ist und Kompromittierungsindikatoren erkannt werden, speichert die Anwendung eine Kopie des Objekts in der Quarantäne und löscht das Originalobjekt.
Gerät vom Netzwerk isolieren.
Wenn dieses Kontrollkästchen aktiviert ist und Anzeichen einer Gefährdung erkannt werden, isoliert die Anwendung das Gerät vom Netzwerk, um eine Ausbreitung der Bedrohung zu verhindern. Sie können die Dauer der Isolation anpassen.

Wenn das isolierte Gerät von einer Richtlinie abgedeckt wird, werden sowohl die Parameter für das automatische Ausschalten der Isolierung nach einem bestimmten Zeitraum als auch die in den Richtlinieneigenschaften angegebenen Parameter für die Ausschlüsse aus der Netzwerkisolation angewendet. Wenn das isolierte Gerät nicht von der Richtlinie abgedeckt ist, werden die in den Geräteeigenschaften angegebenen Parameter angewendet.

Wenn dieses Kontrollkästchen deaktiviert ist und Anzeichen einer Gefährdung erkannt werden, führt die Anwendung keine Antwort-Reaktionen aus. Informationen zur Erkennung von Kompromittierungsindikatoren werden sowohl im Fenster mit den Alarmdetails als auch in den Aufgabeneigenschaften angezeigt.

Sie können weitere Parameter der Aufgabe IOC-Untersuchung in den Eigenschaften der Aufgabe auf der Registerkarte Anwendungseinstellungen → Erweitert ändern.

Die Einstellungen im Abschnitt Erweitert können geändert werden, wenn Sie im Bereich IOC-Dateien neu definieren eine IOC-Datei hochgeladen haben.

Erweiterte Einstellungen der Aufgabe IOC-Untersuchung

Einstellung	Beschreibung
Datentypen (IOC-Dokumente), die während der IOC-Untersuchung analysiert werden sollen	Die Kontrollkästchen im Abschnitt Erweitert fügen die folgenden Datentypen (IOC-Dokumente) zur Analyse während einer IOC-Untersuchung hinzu: Prozesse - ProcessItem Dateien - FileItem IOC-Dokumente Der Link IOC-Dokumente ist verfügbar, wenn Sie im Bereich IOC-Dateien neu definieren eine IOC-Datei hochgeladen haben. Über diesen Link gelangen Sie zum Fenster Parameter für die Dateiuntersuchung – FileItem, in welchem Sie Untersuchungsbereiche hinzufügen können. ARP-Tabellen - ArpEntryItem Netzwerkports - PortItem Benutzerkonten - UserItem Systemobjekte - SystemItem
IOCs in den folgenden Bereichen suchen:	Das Kontrollkästchen aktiviert oder deaktiviert die Untersuchung der folgenden Bereiche: Dateien auf allen Laufwerken des Geräts. Dateien auf dem Systemlaufwerk des Geräts Kritische Bereiche des Geräts. Diese Option ist standardmäßig ausgewählt. Vordefinierte Bereiche nicht untersuchen.
Angegebene Bereiche untersuchen	Das Kontrollkästchen fügt die Bereiche zur Liste der Untersuchungsbereiche hinzu, die in der Tabelle unterhalb des Kontrollkästchens aufgeführten werden. Über die Schaltfläche Hinzufügen können Sie zusätzliche Pfade zu Bereichen hinzufügen, die überprüft werden sollen. Geben Sie im nächsten Fenster im Feld Bereich den Pfad zum gewünschten Bereich an und speichern Sie die Änderungen. Sie können einen Bereich aus der Tabelle entfernen, indem Sie das Kontrollkästchen neben dem zu löschenden Bereich aktivieren und anschließend auf die Schaltfläche Löschen klicken. Sie können das Kontrollkästchen nicht deaktivieren, wenn in der Liste IOCs in den folgenden Bereichen suchen die Option Vordefinierte Bereiche nicht untersuchen ausgewählt ist.

Einstellung

Beschreibung

Datentypen (IOC-Dokumente), die während der IOC-Untersuchung analysiert werden sollen

Die Kontrollkästchen im Abschnitt Erweitert fügen die folgenden Datentypen (IOC-Dokumente) zur Analyse während einer IOC-Untersuchung hinzu:

Prozesse - ProcessItem
Dateien - FileItem
- IOC-Dokumente
Der Link IOC-Dokumente ist verfügbar, wenn Sie im Bereich IOC-Dateien neu definieren eine IOC-Datei hochgeladen haben. Über diesen Link gelangen Sie zum Fenster Parameter für die Dateiuntersuchung – FileItem, in welchem Sie Untersuchungsbereiche hinzufügen können.
ARP-Tabellen - ArpEntryItem
Netzwerkports - PortItem
Benutzerkonten - UserItem
Systemobjekte - SystemItem

IOCs in den folgenden Bereichen suchen:

Das Kontrollkästchen aktiviert oder deaktiviert die Untersuchung der folgenden Bereiche:

Dateien auf allen Laufwerken des Geräts.
Dateien auf dem Systemlaufwerk des Geräts
Kritische Bereiche des Geräts. Diese Option ist standardmäßig ausgewählt.
Vordefinierte Bereiche nicht untersuchen.

Angegebene Bereiche untersuchen

Das Kontrollkästchen fügt die Bereiche zur Liste der Untersuchungsbereiche hinzu, die in der Tabelle unterhalb des Kontrollkästchens aufgeführten werden.

Über die Schaltfläche Hinzufügen können Sie zusätzliche Pfade zu Bereichen hinzufügen, die überprüft werden sollen. Geben Sie im nächsten Fenster im Feld Bereich den Pfad zum gewünschten Bereich an und speichern Sie die Änderungen.

Sie können einen Bereich aus der Tabelle entfernen, indem Sie das Kontrollkästchen neben dem zu löschenden Bereich aktivieren und anschließend auf die Schaltfläche Löschen klicken.

Sie können das Kontrollkästchen nicht deaktivieren, wenn in der Liste IOCs in den folgenden Bereichen suchen die Option Vordefinierte Bereiche nicht untersuchen ausgewählt ist.

Es wird nicht empfohlen, IOC-Dateien nach dem Start der Aufgabe hinzuzufügen oder zu entfernen. Dies kann zu einer fehlerhaften Anzeige von Ergebnissen der IOC-Untersuchung für frühere Aufgabenausführungen führen. Um eine Suche nach Kompromittierungsindikatoren mit neuen IOC-Dateien auszuführen, wird es empfohlen, neue Aufgaben zu erstellen.

Nach der Ausführung der Aufgabe IOC-Untersuchung können Sie deren Ergebnis in den Eigenschaften der Web Console im Abschnitt Anwendungseinstellungen → Ergebnisse der IOC-Untersuchung anzeigen. Die Tabelle enthält eine Liste der Geräte, auf denen die Aufgabe zur IOC-Untersuchung ausgeführt wurde, sowie die Ergebnisse der Aufgabe. In der Dropdown-Liste Gerät können Sie auswählen, ob Ergebnisanzeige der Aufgabe für alle verwalteten Geräte, auf denen die Aufgabe gestartet wurde, oder für ein bestimmtes Gerät angezeigt werden soll.

Die Tabelle enthält die folgenden Informationen:

Status – Als Symbol angezeigter Erkennungsstatus der Kompromittierungsindikatoren.
Gerät – Name des Geräts, auf dem die Aufgabe gestartet wurde.
Zeitpunkt – Datum und Uhrzeit der Ausführung der Aufgabe.
Ergebnisse – Informationen zum Ausführungsergebnis der IoC-Untersuchungsaufgabe. Es kann einer der folgenden Statuswerte angezeigt werden:
- IOC erkannt – Dieser Status wird als Link angezeigt, der beim Anklicken ein Fenster mit den Alarmdetails öffnet.
- Keine IOCs erkannt.

Die Aufbewahrungsdauer der Ergebnisse der IOC-Untersuchung beträgt 30 Tage. Danach beginnt Kaspersky Endpoint Security automatisch mit der Löschung alter Einträge.

Nach oben