Ein Kompromittierungsindikator (IOC) ist eine Sammlung von Informationen über ein Objekt oder eine Aktivität, die auf einen unbefugten Zugriff auf den Computer (eine Datenkompromittierung) hinweisen. Beispielsweise können viele erfolglose Anmeldeversuche am System einen Kompromittierungsindikator darstellen. Mit der Aufgabe IOC-Untersuchung können Kompromittierungsindikatoren auf dem Computer gefunden und Maßnahmen zur Reaktion auf Bedrohungen ergriffen werden.
Kaspersky Endpoint Security sucht mithilfe von IOC-Dateien nach Kompromittierungsindikatoren. IOC-Dateien sind Dateien, die Sammlung von Indikatoren enthalten, mit denen die Anwendung nach Übereinstimmungen sucht, um sie einem Fund anzurechnen. Die IOC-Dateien müssen dem OpenIOC-Standard entsprechen.
Ausführungsmodus Aufgabe zur IOC-Untersuchung
Mit Kaspersky Endpoint Detection and Response können Sie standardmäßige Aufgaben zur IOC-Untersuchung erstellen, um kompromittierte Daten zu erkennen. Eine standardmäßige Aufgabe zur IOC-Untersuchung ist eine Gruppenaufgabe oder lokale Aufgabe, die manuell in der Web Console erstellt und konfiguriert wird. Die Aufgaben verwenden während ihrer Ausführung IOC-Dateien, die vom vorher vom Benutzer vorbereitet wurden. Wenn Sie einen Kompromittierungsindikator manuell hinzufügen möchten, lesen Sie bitte die Anforderungen an IOC-Dateien.
Erstellen einer Aufgabe zur IOC-Untersuchung
Sie können IOC-Untersuchungsaufgaben manuell erstellen:
Die Alarmdetails sind ein Tool zum Anzeigen aller gesammelten Informationen über eine erkannte Bedrohung. Zu den Alarmdetails gehört beispielsweise der Verlauf der auf dem Computer veränderten Dateien. Weitere Informationen zur Verwaltung der Alarmdetails finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.
So erstellen Sie eine Aufgabe zur IOC-Untersuchung:
Die Liste mit Aufgaben wird geöffnet.
Der Assistent für das Erstellen einer Aufgabe wird gestartet.
Nach dem Laden der IOC-Dateien können Sie die Liste der Indikatoren aus den IOC-Dateien anzeigen.
Hinweis: Das Hinzufügen oder Entfernen von IOC-Dateien nach dem Ausführen der Aufgabe wird nicht empfohlen. Dies kann dazu führen, dass die Ergebnisse der IOC-Untersuchung für frühere Ausführungen der Aufgabe falsch angezeigt werden. Um Kompromittierungsindikatoren anhand neuer IOC-Dateien zu suchen, wird es empfohlen, neue Aufgaben hinzuzufügen.
Hinweis: Kaspersky Endpoint Security wählt die Datentypen (IOC-Dokumente) für die Aufgabe zur IOC-Untersuchung automatisch aus, entsprechend dem Inhalt der geladenen IOC-Dateien. Es wird nicht empfohlen, Datentypen abzuwählen.
Für die folgenden Datentypen können Sie zusätzliche Untersuchungsbereiche konfigurieren:
Hinweis: Standardmäßig startet Kaspersky Endpoint Security die Aufgabe unter dem Systembenutzerkonto (root).
Wenn Sie die Option Nach Abschluss der Erstellung Aufgabendetails öffnen aktiviert haben, wird das Fenster mit den Aufgabeneinstellungen geöffnet. In diesem Fenster können Sie bei Bedarf die Aufgabenparameter überprüfen und ändern oder einen Startzeitplan für die Aufgabe festlegen.
Das Fenster mit den Aufgabeneigenschaften wird geöffnet.
Hinweis: Stellen Sie sicher, dass der Computer zum Zeitpunkt der geplanten Aufgabenausführung eingeschaltet ist.
Infolgedessen führt Kaspersky Endpoint Security auf dem Computer eine Suche nach Kompromittierungsindikatoren aus. Sie können die Aufgabenergebnisse in den Aufgabeneigenschaften im Abschnitt Ergebnisse anzeigen. Sie können die Informationen über gefundene Kompromittierungsindikatoren in den Aufgabeneigenschaften unter Anwendungseinstellungen > IOC-Untersuchungsergebnisse anzeigen.
Hinweis: Die Ergebnisse der IOC-Untersuchung werden 30 Tage lang gespeichert. Nach Ablauf dieses Zeitraums beginnt Kaspersky Endpoint Security automatisch mit dem Löschen der ältesten Einträge.
Nach oben