Scansione per indicatori di compromessione

Un Indicatore di Compromissione (IOC) è un insieme di dati su un oggetto o un'attività che indica l'accesso non autorizzato al computer (compromissione dei dati). Ad esempio, molti tentativi non riusciti di accesso al sistema possono costituire un indicatore di compromissione. L'attività Scansione IOC consente di trovare indicatori di compromissione nel computer e di adottare misure di risposta alle minacce.

Kaspersky Endpoint Security ricerca gli indicatori di compromissione utilizzando i file IOC. I file IOC sono file contenenti i set di indicatori che l'applicazione tenta di abbinare per contare un rilevamento. I file IOC devono essere conformi allo standard OpenIOC.

Modalità di esecuzione dell'attività di scansione IOC

Kaspersky Endpoint Detection and Response consente di creare attività di scansione IOC standard per rilevare i dati compromessi. L'attività di scansione IOC standard è un'attività locale o di gruppo creata e configurata manualmente in Web Console. Le attività vengono eseguite utilizzando i file IOC preparati dall'utente. Se si desidera aggiungere manualmente un indicatore di compromissione, leggere i requisiti per i file IOC.

Creazione di un'attività di scansione IOC

È possibile creare manualmente attività di scansione IOC:

Per creare un'attività Scansione IOC:

  1. Nella finestra principale di Web Console selezionare Dispositivi > Attività.

    Viene aperto l'elenco delle attività.

  2. Fare clic su Aggiungi.

    Verrà avviata la Creazione guidata nuova attività.

  3. Configurare le impostazioni dell'attività:
    1. Nell'elenco a discesa Applicazione selezionare Kaspersky Endpoint Security for Mac (12.1).
    2. Nell'elenco a discesa Tipo di attività selezionare Scansione IOC.
    3. Nel campo Nome attività immettere una breve descrizione.
    4. Nella sezione Selezionare i dispositivi a cui assegnare l'attività selezionare l'ambito dell'attività.
  4. Selezionare i dispositivi in base all'opzione dell'ambito dell'attività selezionata.
  5. Nella sezione Impostazioni Scansione IOC caricare i file IOC per cercare gli indicatori di compromissione.

    Dopo aver caricato i file IOC, è possibile visualizzare l'elenco degli indicatori dai file IOC.

    Nota: l'aggiunta o la rimozione di file IOC dopo l'esecuzione dell'attività non è consigliata. Ciò può causare la visualizzazione errata dei risultati della scansione IOC per le precedenti esecuzioni dell'attività. Per cercare gli indicatori di compromissione in base a nuovi file IOC, si consiglia di aggiungere nuove attività.

  6. Configurare le azioni in base al rilevamento IOC:
    • Isola il computer dalla rete. Se questa opzione è selezionata, Kaspersky Endpoint Security isola il computer dalla rete per impedire la diffusione della minaccia. È possibile configurare la durata dell'isolamento nelle impostazioni del componente Endpoint Detection and Response.
    • Sposta la copia in Quarantena ed elimina l'oggetto. Se questa opzione è selezionata, Kaspersky Endpoint Security elimina l'oggetto dannoso trovato nel computer. Prima di eliminare l'oggetto, Kaspersky Endpoint Security crea una copia di backup nel caso in cui l'oggetto debba essere ripristinato in un secondo momento. Kaspersky Endpoint Security sposta la copia di backup in Quarantena.
    • Esegui scansione delle aree critiche. Se questa opzione è selezionata, Kaspersky Endpoint Security esegue l'attività Scansione rapida. Per impostazione predefinita, Kaspersky Endpoint Security esegue la scansione della memoria, degli oggetti di avvio e delle cartelle di sistema.
  7. Passare alla sezione Avanzate.
  8. Selezionare i tipi di dati (documenti IOC) che devono essere analizzati come parte dell'attività.

    Nota: Kaspersky Endpoint Security seleziona automaticamente i tipi di dati (documenti IOC) per l'attività Scansione IoC in base al contenuto dei file IoC caricati. Non è consigliabile deselezionare i tipi di dati.

    È inoltre possibile configurare gli ambiti di scansione per i seguenti tipi di dati:

    • File - FileItem
    • Account utente - UserItem
    • Host – SystemInfoItem
  9. Fare clic su OK.
  10. Immettere le credenziali dell'account dell'utente di cui si desidera utilizzare i diritti per eseguire l'attività. Fare clic su Avanti.

    Nota: per impostazione predefinita, Kaspersky Endpoint Security avvia l'attività come account utente di sistema (root).

  11. Al passaggio Completare la creazione dell'attività, fare clic sul pulsante Fine per creare l'attività e chiudere la procedura guidata.

    Se è stata abilitata l'opzione Apri i dettagli dell'attività al termine della creazione, viene aperta la finestra delle impostazioni dell'attività. In questa finestra è possibile controllare i parametri dell'attività, modificarli o configurare una pianificazione di avvio dell'attività, se necessario.

  12. Fare clic sulla nuova attività.

    Viene visualizzata la finestra delle proprietà dell'attività.

  13. Selezionare la scheda Pianificazione.
  14. Configurare la pianificazione attività.

    Nota: assicurarsi che il computer sia acceso per eseguire l'attività.

  15. Fare clic sul pulsante Salva.
  16. Per eseguire immediatamente l'attività indipendentemente dalla pianificazione configurata, effettuare le seguenti operazioni:
    1. Selezionare la casella di controllo accanto all'attività.
  17. Fare clic sul pulsante Esegui.

    Di conseguenza, Kaspersky Endpoint Security esegue la ricerca degli indicatori di compromissione nel computer. È possibile visualizzare i risultati dell'attività nelle proprietà dell'attività nella sezione Risultati. È possibile visualizzare le informazioni sugli indicatori di compromissione rilevati nelle proprietà dell'attività: Impostazioni dell'applicazione > Risultati Scansione IOC.

Nota: i risultati della scansione IOC vengono conservati per 30 giorni. Dopo questo periodo, Kaspersky Endpoint Security elimina automaticamente le voci più vecchie.

Inizio pagina