セキュリティ侵害インジケーター(IOC)は、コンピュータへの不正アクセス(データの侵害)を示すオブジェクトまたは活動に関するデータのセットです。たとえば、システムへのサインインの試行が何度も失敗すると、セキュリティ侵害インジケーターとなる可能性があります。IOC スキャンタスクを使用すると、コンピュータ上のセキュリティ侵害インジケーターを検知し、脅威への対応策を講じることができます。
Kaspersky Endpoint Security は、IOC ファイルを使用してセキュリティ侵害インジケーターを検索します。IOC ファイルは、本製品が検知をカウントする目的で一致を試行するインジケーターのセットを含むファイルです。IOC ファイルは、OpenIOC 標準に準拠している必要があります。
IOC スキャンタスクの実行モード
Kaspersky Endpoint Detection and Response と、侵害されたデータを検知するための標準の IOC スキャンタスクを作成できます。標準 IOC スキャンタスクは、Web コンソールで手動で作成および設定されるグループタスクまたはローカルタスクです。タスクは、ユーザーが準備した IOC ファイルを使用して実行されます。セキュリティ侵害インジケーターを手動で追加する場合は、 IOC ファイルの要件をお読みください。
IOC スキャンタスクの作成
IOC スキャンタスクを手動で作成できます:
アラートの詳細は、検知された脅威に関する収集された情報全体を表示するためのツールです。アラートの詳細には、たとえば、コンピュータに表示されるファイルの履歴が含まれます。アラートの詳細を管理する方法の詳細は、 Kaspersky Endpoint Detection and Response Optimum のヘルプを参照してください。
IOC スキャンタスクを作成するには:
タスクのリストが開きます。
新規タスクウィザードが起動します。
IOC ファイルの読み込み後、IOC ファイルからインジケーターのリストを表示できます。
注意:タスクの実行後に IOC ファイルを追加または削除することは推奨しません。これにより、タスクの以前の実行の IOC スキャン結果が誤って表示される可能性があります。新しい IOC ファイルによるセキュリティ侵害インジケーターを検索するには、新しいタスクの追加を推奨します。
注意: Kaspersky Endpoint Security は、読み込まれた IOC ファイルの内容に応じて、IOC スキャンタスクのデータ種別 (IOC ドキュメント)を自動的に選択します。データ種別の選択をオフにすることは推奨されません。
さらに、次のデータ種別に対してスキャン 範囲を設定できます:
注意:既定では、 Kaspersky Endpoint Security はシステムユーザーアカウント(root)としてタスクを開始します。
[作成が完了したらタスクの詳細を開く]をオンにした場合は、タスク設定ウインドウが開きます。このウインドウでは、タスクのパラメータを確認したり、変更したり、必要に応じてタスク開始スケジュールを設定したりできます。
タスクのプロパティウインドウが表示されます。
注意:タスクを実行するには、コンピュータの電源がオンになっていることを確認してください。
これにより、 Kaspersky Endpoint Security はコンピュータ上のセキュリティ侵害インジケーターの検索を実行します。タスクの結果は、タスク プロパティの[結果]セクションで確認できます。検知されたセキュリティ侵害インジケーターに関する情報は、タスクのプロパティ([アプリケーション設定]→[IOC スキャン結果])で確認できます。
注意: IOC スキャンの結果は 30 日間保存されます。この期間を過ぎると、 Kaspersky Endpoint Security は最も古いエントリを自動的に削除します。
ページのトップに戻る