Un indicador de peligro (IOC) es un conjunto de datos sobre un objeto o una actividad que indica acceso no autorizado al ordenador (vulneración de datos). Por ejemplo, muchos intentos fallidos de iniciar sesión en el sistema pueden constituir un indicador de peligro. La tarea Análisis de IOC permite encontrar indicadores de peligro en el ordenador y tomar medidas de respuesta a las amenazas.
Kaspersky Endpoint Security busca indicadores de peligro mediante el uso de archivos de IOC. Los archivos de IOC son archivos que contienen los conjuntos de indicadores que la aplicación intenta vincular para contar una detección. Los archivos de IOC deben cumplir con el estándar de OpenIOC.
Modo de ejecución de la tarea de Análisis de IOC
Kaspersky Endpoint Detection and Response le permite crear tareas de Análisis de IOC estándar para detectar datos vulnerados. La tarea de Análisis de IOC estándar es una tarea grupal o local que se crea y configura manualmente en Web Console. Las tareas se ejecutan con archivos de IOC preparados por el usuario. Si desea añadir un indicador de peligro manualmente, lea los requisitos para los archivos de IOC.
Crear una tarea de Análisis de IOC
Puede crear tareas de Análisis de IOC manualmente de las siguientes maneras:
Detalles de alerta es una herramienta para ver toda la información recopilada sobre una amenaza detectada. Los detalles de la alerta incluyen, por ejemplo, el historial de archivos que aparecen en el ordenador. Para obtener más información sobre la administración de los detalles de las alertas, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum.
Para crear una tarea de Análisis de IOC, siga estos pasos:
Se abre la lista de tareas.
Se inicia el Asistente para crear nueva tarea.
Después de cargar los archivos de IOC, puede ver la lista de indicadores de los archivos de IOC.
Nota: No se recomienda añadir ni eliminar archivos de IOC después de ejecutar la tarea. Esto puede hacer que los resultados del Análisis de IOC se muestren incorrectamente para ejecuciones anteriores de la tarea. Para buscar indicadores de peligro según nuevos archivos de IOC, se recomienda añadir nuevas tareas.
Nota: Kaspersky Endpoint Security selecciona automáticamente los tipos de datos (documentos de IOC) para la tarea de Análisis de IOC de acuerdo con el contenido de los archivos de IOC cargados. No se recomienda anular la selección de los tipos de datos.
Además, puede configurar la cobertura del análisis para los siguientes tipos de datos:
Nota: De manera predeterminada, Kaspersky Endpoint Security inicia la tarea como la cuenta de usuario del sistema (root).
Si activó la opción Abrir los detalles de la tarea cuando se complete la creación, se abre la ventana de configuración de la tarea. En esta ventana, puede verificar los parámetros de la tarea, modificarlos o configurar una programación de inicio de la tarea, si es necesario.
Se abre la ventana de propiedades de la tarea.
Nota: Asegúrese de que el ordenador esté encendido para ejecutar la tarea.
Como resultado, Kaspersky Endpoint Security ejecuta la búsqueda de indicadores de peligro en el ordenador. Puede ver los resultados de la tarea en las propiedades de la tarea en la sección Resultados. Puede ver la información sobre los indicadores de peligro detectados en las propiedades de la tarea: Configuración de la aplicación > Resultados del análisis de IOC.
Nota: Los resultados del Análisis de IOC se conservan durante 30 días. Después de este período, Kaspersky Endpoint Security elimina automáticamente las entradas más antiguas.
Principio de la página