Verificar indicadores de comprometimento

Um Indicador de Comprometimento (IOC) é um conjunto de dados sobre um objeto ou atividade que indica acesso não autorizado ao computador (comprometimento de dados). Por exemplo, muitas tentativas malsucedidas de entrar no sistema podem constituir um indicador de comprometimento. A tarefa Verificação de IOC permite encontrar Indicadores de comprometimento no computador e tomar medidas de resposta a ameaças.

O Kaspersky Endpoint Security procura indicadores de comprometimento usando arquivos IOC. Os arquivos IOC são arquivos que contêm os conjuntos de indicadores que o aplicativo tenta corresponder para contar uma detecção. Os arquivos IOC devem estar em conformidade com o padrão OpenIOC.

Modo de execução da tarefa de Verificação IOC

O Kaspersky Endpoint Detection and Response permite criar tarefas de Verificação IOC padrão para detectar dados comprometidos. A tarefa de verificação IOC padrão é um grupo ou tarefa local criada e configurada manualmente no Web Console. As tarefas são executadas usando arquivos IOC preparados pelo usuário. Se você quiser adicionar um indicador de comprometimento manualmente, leia os requisitos para arquivos IOC.

Criar uma tarefa de Verificação de IOC

Você pode criar tarefas de Verificação de IOC manualmente:

• Nos detalhes do alerta (somente para EDR Optimum).

  Detalhes do alerta é uma ferramenta para exibir a totalidade das informações coletadas sobre uma ameaça detectada. Os detalhes do alerta incluem, por exemplo, o histórico de arquivos que aparecem no computador. Para obter detalhes sobre o gerenciamento de detalhes do alerta, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum.

• Usando o Assistente de Tarefas.

Para criar uma tarefa de Verificação de IOC:

1. Na janela principal do Web Console, selecione Dispositivos > Tarefas.

   A lista de tarefas é aberta.

2. Clique em Adicionar.

   O Assistente para novas tarefas é iniciado.

3. Definir os ajustes da tarefa:
   1. Na lista suspensa Aplicativo, selecione Kaspersky Endpoint Security for Mac (12.1).
   2. Na lista suspensa Tipo de tarefa, selecione Verificação de IOC.
   3. No campo Nome da tarefa, insira uma breve descrição.
   4. No bloco Selecionar dispositivos aos quais a tarefa será atribuída, selecione o escopo da tarefa.
4. Selecione os dispositivos de acordo com a opção de escopo da tarefa selecionada.
5. Na seção Ajustes da verificação de IOC, carregue os arquivos IOC para procurar indicadores de comprometimento.

   Depois de carregar os arquivos IOC, você pode visualizar a lista de indicadores dos arquivos IOC.

   Nota: não é recomendado adicionar ou remover arquivos IOC depois de executar a tarefa. Isso pode fazer com que os resultados da verificação de IOC sejam exibidos incorretamente para execuções anteriores da tarefa. Para pesquisar indicadores de comprometimento por novos arquivos IOC, recomenda-se adicionar novas tarefas.

6. Configurar ações ao detectar IOC:
   • Isolar o computador da rede. Se esta opção estiver selecionada, o Kaspersky Endpoint Security isola o computador da rede para impedir que a ameaça se espalhe. Você pode configurar a duração do isolamento nos ajustes do componente Endpoint Detection and Response.
   • Mover cópia para a Quarentena e excluir objeto. Se esta opção for selecionada, o Kaspersky Endpoint Security excluirá o objeto malicioso encontrado no computador. Antes de excluir o objeto, o Kaspersky Endpoint Security cria uma cópia de backup caso o objeto precise ser restaurado posteriormente. O Kaspersky Endpoint Security move a cópia de backup para a Quarentena.
   • Executar verificação de áreas críticas. Se esta opção estiver selecionada, o Kaspersky Endpoint Security executa a tarefa de Verificação Rápida. Por padrão, o Kaspersky Endpoint Security verifica a memória, os objetos de inicialização e as pastas do sistema.
7. Vá para a seção Avançado.
8. Selecione os tipos de dados (documentos IOC) que devem ser analisados como parte da tarefa.

   Nota: O Kaspersky Endpoint Security seleciona automaticamente os tipos de dados (documentos IOC) para a tarefa de Verificação IOC de acordo com o conteúdo dos arquivos IOC carregados. Não é recomendável desmarcar os tipos de dados.

   Você também pode configurar escopos da verificação para os seguintes tipos de dados:

   • Arquivos – FileItem
   • Contas de usuários - UserItem
   • Hosts - SystemInfoItem
9. Clique em OK.
10. Insira as credenciais da conta do usuário cujos direitos você deseja usar para executar a tarefa. Clique em Avançar.

    Nota: Por padrão, o Kaspersky Endpoint Security inicia a tarefa como a conta de usuário do sistema (raiz).

11. Na etapa Concluir a criação da tarefa, clique no botão Concluir para criar a tarefa e fechar o assistente.

    Se você ativou a opção Abrir detalhes da tarefa quando a criação estiver concluída, a janela de ajustes da tarefa é aberta. Nessa janela, você pode verificar os parâmetros da tarefa, modificá-los ou configurar um agendamento de início de tarefa, se necessário.

12. Clique na nova tarefa.

    A janela de propriedades da tarefa é aberta.

13. Selecione a guia Agendamento.
14. Configure o agendamento de tarefas.

    Nota: Assegure-se de que o computador esteja ligado para executar a tarefa.

15. Clique no botão Salvar.
16. Para executar a tarefa imediatamente, independentemente do agendamento configurado, faça o seguinte:
    1. Marque a caixa de seleção ao lado da tarefa.
17. Clique no botão Executar.

    Como resultado, o Kaspersky Endpoint Security executa a pesquisa de indicadores de comprometimento no computador. Você pode exibir os resultados da tarefa nas propriedades da tarefa na seção Resultados. Você pode exibir as informações sobre os indicadores de comprometimento detectados nas propriedades da tarefa: Ajustes do aplicativo > Resultados da verificação de IOC.

Nota: os resultados da verificação de IOC são mantidos por 30 dias. Após esse período, o Kaspersky Endpoint Security exclui automaticamente as entradas mais antigas.

Topo da página