Проверка индикаторов компрометации

Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.

Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.

Режим запуска задачи Поиск IOC

Kaspersky Endpoint Detection and Response позволяет создавать стандартные задачи Поиска IOC для обнаружения компрометации данных. Стандартная задача Поиска IOC – групповая или локальная задача, которые создаются и настраиваются вручную в Web Console. Для запуска задач используются IOC-файлы, подготовленные пользователем. Если вы хотите добавить индикатор компрометации вручную, ознакомьтесь с требованиями к IOC-файлам.

Создание задачи Поиск IOC

Вы можете создавать задачи Поиск IOC вручную следующими способами:

• В деталях алерта (только для EDR Optimum).

  Детали алерта – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали алерта содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями алерта см. в справке Kaspersky Endpoint Detection and Response Optimum.

• С помощью мастера создания задач.

Чтобы создать задачу Поиск IOC, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Mac (12.1).
   2. В раскрывающемся списке Тип задачи выберите Поиск IOC.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи.
5. В разделе Настройки поиска IOC загрузите IOC-файлы для поиска индикаторов компрометации.

   После загрузки IOC-файлов вы можете просмотреть список индикаторов из IOC-файлов.

   Примечание. Не рекомендуется добавлять или удалять IOC-файлы после запуска задачи. Это может привести к некорректному отображению результатов поиска IOC для предыдущих запусков задачи. Для поиска индикаторов компрометации по новым IOC-файлам рекомендуется добавлять новые задачи.

6. Настройте действия при обнаружении индикатора компрометации:
   • Изолировать компьютер от сети. Если выбран этот вариант действия, то Kaspersky Endpoint Security изолирует компьютер от сети для предотвращения распространения угрозы. Вы можете настроить время изоляции в параметрах компонента Endpoint Detection and Response.
   • Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.
   • Запускать проверку важных областей. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Быстрая проверка. По умолчанию Kaspersky Endpoint Security проверяет память, объекты автозапуска и системные папки.
7. Перейдите в раздел Дополнительно.
8. Выберите типы данных (IOC-документы), которые необходимо анализировать во время выполнения задачи.

   Примечание. Kaspersky Endpoint Security автоматически выбирает типы данных (IOC-документы) для задачи Поиск IOC в соответствии с содержанием загруженных IOC-файлов. Не рекомендуется самостоятельно отменять выбор типов данных.

   Дополнительно вы можете настроить области поиска для следующих типов данных:

   • Файлы - FileItem
   • Учетные записи пользователей - UserItem
   • Системные объекты - SystemItem
9. Нажмите OK.
10. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите Далее.

    Примечание. По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (root).

11. На шаге Завершение создания задачи нажмите на кнопку Готово, чтобы создать задачу и закрыть мастер.

    Если включен параметр Открыть окно свойств задачи после ее создания, откроется окно параметров задачи. В этом окне можно проверить параметры задачи, изменить их или при необходимости настроить расписание запуска задачи.

12. Нажмите на новую задачу.

    Откроется окно свойств задачи.

13. Выберите вкладку Расписание.
14. Настройте расписание запуска задачи.

    Примечание. Убедитесь, что компьютер включен для выполнения задачи.

15. Нажмите на кнопку Сохранить.
16. Чтобы запустить задачу немедленно, независимо от настроенного расписания, выполните следующие действия:
    1. Установите флажок напротив задачи.
17. Нажмите на кнопку Выполнить.

    В результате Kaspersky Endpoint Security запустит поиск индикаторов компрометации на компьютере. Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты. Информацию об обнаруженных индикаторах компрометации вы можете посмотреть в свойствах задачи Параметры программы → Результаты поиска IOC.

Примечание. Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.

В начало