只有在與 Kaspersky Endpoint Detection and Response Optimum 整合後,您才可以在網頁主控台中使用 IOC 掃描工作掃描入侵指標。與 Kaspersky Endpoint Detection and Response (KATA) 整合後,系統會在 Kaspersky Endpoint Detection and Response (KATA) 解決方案中執行 IOC 掃描。
您可以建立和執行IoC 掃描工作,以及在網頁主控台中編輯其設定。
對於IOC 掃描工作,在排程設定中不提供 LAN 喚醒功能。為了執行工作,請確保裝置已開啟電源。
您可以在工作屬性中的應用程式設定索引標籤 → IOC 掃描設定中變更IOC 掃描工作的主要設定。
IOC 掃描工作設定
|
設定 |
描述 |
|---|---|
|
重新定義 IOC 檔案 |
此按鈕可開啟重新定義 IOC 檔案面板。 點擊重新定義 IOC 檔案面板中的新增 IOC 檔案按鈕將開啟一個視窗,您可以在其中選擇並下載裝置上搜尋入侵指標所需的IOC 檔案。上傳 IOC 檔案後,您可以檢視 IOC 檔案中的指標清單。 |
|
匯出 IOC 集合 |
點擊此按鈕將 IOC 檔案下載到裝置。 |
|
偵測到 IOC 時套用回應動作 |
此核取方塊可啟用或停用在偵測到入侵指標時套用回應操作。 如果選取該核取方塊,則當偵測到入侵指標時,應用程式將執行您選擇的操作:
如果清除該核取方塊,則應用程式在偵測到入侵指標時不會執行任何回應操作。關於偵測到的入侵指標的資訊將顯示在警示詳情視窗和工作屬性中。 |
您可以在工作屬性的應用程式設定索引標籤 →附加中變更IOC 掃描工作的附加設定。
如果您已在重新定義 IOC 檔案面板中載入了 IOC 檔案,則可以編輯附加部分。
IOC 掃描工作的附加設定
|
設定 |
描述 |
|---|---|
|
要在 IOC 掃描期間進行分析的資料類型(IOC 文件) |
附加部分中的核取方塊包括 IOC 掃描期間分析的以下資料類型(IOC 檔案):
|
|
在以下區域中搜尋 IOC。 |
此核取方塊可啟用或停用以下範圍的掃描。
|
|
掃描自訂區域 |
此核取方塊可將核取方塊下方表格中列出的範圍新增至掃描範圍清單。 您可以透過點擊新增按鈕來新增您想要掃描的範圍的路徑。在開啟的視窗中,在範圍欄位中輸入範圍的路徑並儲存變更。 您可以從表中刪除範圍,方法是選取要刪除的範圍旁的核取方塊,然後點擊移除按鈕。 如果在以下區域中搜尋 IOC 清單中選取了不掃描預定義區域選項,則您無法取消選中此核取方塊。 |
我們不建議在開始此工作後新增或刪除 IOC 檔案。這可能會導致該工作之前執行的 IOC 掃描結果顯示不正確。我們建議建立一個新工作來基於新的 IOC 檔案執行 IOC 掃描。
您可以在網頁主控台中的應用程式設定→ IOC 掃描結果下的工作屬性中檢視IOC 掃描工作的結果。此表顯示已在其上執行IOC 掃描工作的裝置清單以及工作結果。在裝置下拉清單中,您可以選擇顯示已執行該工作的所有受管理裝置或特定裝置的工作結果。
該表包含以下資訊:
IOC 掃描結果保存 30 天。此時間過後,Kaspersky Endpoint Security 會自動刪除舊條目。
頁頂