Un indicador de peligro (IOC) es un conjunto de datos sobre un objeto o una actividad que indica acceso no autorizado al equipo (datos en riesgo). Por ejemplo, muchos intentos fallidos de iniciar sesión en el sistema pueden constituir un indicador de peligro. La tarea Análisis de IOC permite encontrar indicadores de peligro en el equipo y tomar medidas de respuesta a las amenazas.
Kaspersky Endpoint Security busca indicadores de peligro a través de archivos de IOC. Los archivos de IOC son archivos que contienen los conjuntos de indicadores que la aplicación busca para contar una detección. Los archivos de IOC deben cumplir con el estándar de OpenIOC.
Modo de ejecución de la tarea Análisis de IOC
Kaspersky Endpoint Detection and Response le permite crear tareas estándar de Análisis de IOC para detectar datos en riesgo. La tarea estándar de Análisis de IOC es una tarea grupal o local que se crea y configura manualmente en Web Console. Las tareas se ejecutan con archivos de IOC que prepara el usuario. Si desea agregar un indicador de peligro manualmente, lea los requisitos para los archivos de IOC.
Crear una tarea de Análisis de IOC
Puede crear tareas de Análisis de IOC manualmente:
Detalles de alerta es una herramienta que permite ver toda la información que se recopiló sobre una amenaza detectada. Por ejemplo, Detalles de alerta incluye el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de los detalles de las alertas, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum.
Para crear una tarea de Análisis de IOC:
Se abre la lista de tareas.
Se inicia el Asistente para crear nueva tarea.
Después de cargar los archivos de IOC, puede ver la lista de indicadores en los archivos de IOC.
Nota: No se recomienda agregar ni eliminar archivos de IOC después de ejecutar la tarea. Esto puede hacer que los resultados de Análisis de IOC se muestren de forma incorrecta para ejecuciones anteriores de la tarea. Para buscar indicadores de peligro por nuevos archivos de IOC, se recomienda agregar nuevas tareas.
Nota: Kaspersky Endpoint Security selecciona automáticamente los tipos de datos (documentos de IOC) para la tarea Análisis de IOC de acuerdo con el contenido de los archivos de IOC cargados. No se recomienda anular la selección de los tipos de datos.
Además, puede configurar alcances del análisis para los siguientes tipos de datos:
Nota: De manera predeterminada, Kaspersky Endpoint Security inicia la tarea como la cuenta de usuario del sistema (raíz).
Si habilitó la opción Abrir los detalles de la tarea cuando se complete la creación, se abre la ventana de configuración de la tarea. En esta ventana, puede verificar los parámetros de la tarea, modificarlos o programar el inicio de la tarea, si es necesario.
Se abre la ventana de propiedades de la tarea.
Nota: Asegúrese de que el equipo esté encendido para ejecutar la tarea.
Como resultado, Kaspersky Endpoint Security ejecuta la búsqueda de indicadores de peligro en el equipo. Puede ver los resultados de la tarea en las propiedades de la tarea, en la sección Resultados. Puede ver la información sobre los indicadores de peligro detectados en las propiedades de la tarea: Configuración de la aplicación > Resultados del análisis de IOC.
Nota: Los resultados del Análisis de IOC se conservan durante 30 días. Después de este período, Kaspersky Endpoint Security elimina automáticamente las entradas más antiguas.
Principio de página