Kaspersky Endpoint Security for Windows 11.7.0

Scanare pentru descoperirea indicatorilor de compromitere (IOC)

Un Indicator de compromitere (IOC) este un set de date despre un obiect sau o activitate care indică accesul neautorizat la computer (compromiterea datelor). De exemplu, multe încercări nereușite de conectare la sistem pot constitui un Indicator de compromitere. Activitățile Scanare IOC permit găsirea Indicatorilor de compromitere pe computer și luarea măsurilor de răspuns la amenințări.

Kaspersky Endpoint Security caută indicatorii de compromitere folosind fișiere IOC Fișierele IOC sunt fișiere care conțin seturile de indicatori pe care aplicația încearcă să le potrivească pentru a contoriza o detectare. Fișierele IOC trebuie să fie conforme cu standardul OpenIOC. Kaspersky Endpoint Security creează automat fișiere IOC și permite încărcarea fișierelor IOC pregătite de utilizator. Dacă vreți să adăugați manual un indicator de compromitere, citiți cerințele pentru fișiere IOC.

Fișierul pe care îl puteți descărca făcând clic pe linkul de mai jos, conține un tabel cu lista completă a termenilor IOC din standardul OpenIOC care sunt acceptate de soluția Kaspersky Endpoint Detection and Response.

DESCĂRCAȚI FIȘIERUL IOC_TERMS.XLSX

Moduri de executare a activității de scanare IOC

Kaspersky Endpoint Security permite executarea activității Scanare IOC în următoarele moduri:

• Activitate de scanare IOC standard este un grup sau o activitate locală care este creată și configurată manual în Web Console. Activitățile sunt executate folosind fișiere IOC pregătite de utilizator.
• Activitate de scanare IOC autonomă este o activitate de grup care este creată automat atunci când se reacționează la o amenințare detectată de Kaspersky Sandbox. Kaspersky Endpoint Security generează automat fișierul IOC. Fișierele IOC personalizate nu sunt acceptate. Activitățile sunt șterse automat la șapte zile de la ora ultimei porniri sau ora creării, dacă activitatea nu a fost executată niciodată. Pentru mai multe detalii despre activitățile de scanare IOC autonome, consultați Ajutor Kaspersky Sandbox.

Executarea activității Scanare IOC

Kaspersky Sandbox poate crea automat activități de Scanare IOC atunci când reacționează la amenințări. În Kaspersky Endpoint Detection and Response Optimum, puteți crea manual doar activități de Scanare IOC.

Puteți crea manual activități de Scanare IOC:

• În detaliile alertei.

  Detaliile detecției este un instrument pentru vizualizarea tuturor informațiilor colectate despre o amenințare detectată și gestionarea acțiunilor de răspuns. Detaliile detecției includ, de exemplu, istoricul fișierelor care apar pe computer. Pentru detalii despre administrarea detaliilor detecției, consultați Ajutor Kaspersky Endpoint Detection and Response Optimum.

• Folosind Expertul de activitate.

Puteți configura setările numai în Web Console.

Pentru a crea activități de scanare IOC autonome ca răspuns la amenințări, este necesar Kaspersky Security Center versiunea 13.2.

Pentru a crea o activitate de Scanare IOC:

1. În fereastra principală a Consolei Web, selectează Devices → Tasks.

   Lista activităților se deschide.

2. Faceți clic pe butonul Adăugare.

   Expertul de activitate pornește.

3. Configurați setările pentru activitate:
   1. În lista verticală Application, selectați Kaspersky Endpoint Security for Windows (11.7.0).
   2. În lista verticală Task type, selectați IOC Scan.
   3. În câmpul Task name, introduceți o descriere succintă.
   4. În secțiunea Select devices to which the task will be assigned, selectați domeniul activității.
4. Selectați dispozitive în funcție de opțiunea selectată pentru domeniul activității. Faceți clic pe butonul Next.
5. Introduceți acreditările contului utilizatorului ale cărui drepturi doriți să le utilizați pentru a executa activitatea. Faceți clic pe butonul Next.

   În mod implicit, Kaspersky Endpoint Security pornește activitatea drept cont de utilizator de sistem (SYSTEM).

   Contul de sistem (SYSTEM) nu are permisiunea să execute activitatea Scanare IOC pe unitățile de rețea. Dacă doriți să executați activitatea pentru o unitate de rețea, selectați contul unui utilizator care are acces la acea unitate.

   Pentru activitățile de Scanare IOC autonome pe unitățile de rețea, trebuie să selectați manual contul de utilizator care are acces la acea unitate în proprietățile activității.

6. Termină expertul făcând clic pe butonul Finish.

   Se va afișa o activitate nouă în lista de activități.

7. Faceți clic pe activitatea nouă.

   Se va deschide fereastra de proprietăți a activității.

8. Selectați fila Setări aplicație.
9. Accesați secțiunea IOC scan settings.
10. Încărcați fișierele IOC pentru a căuta indicatorii de compromitere.

    După încărcarea fișierelor IOC, puteți vizualiza lista indicatorilor din fișierele IOC. Dacă este necesar, puteți exclude temporar fișierele IOC din domeniul activității.

    Adăugarea sau eliminarea fișierelor IOC după executarea activității nu este recomandată. Acest lucru poate face ca rezultatele scanării IOC să fie afișate incorect pentru executările anterioare ale activității. Pentru a căuta indicatorii de compromitere după noile fișiere IOC, se recomandă adăugarea de noi activități.

11. Configurați acțiunile la detectarea IOC:
    • Isolate computer from the network. Dacă această opțiune este selectată, Kaspersky Endpoint Security izolează computerul de rețea pentru a preveni răspândirea amenințării. Puteți configura durata izolării în Endpoint Detection and Response component settings.
    • Mutare copie în Carantină, ștergere obiect. Dacă această opțiune este selectată, Kaspersky Endpoint Security șterge obiectul rău intenționat găsit pe computer. Înainte de a șterge obiectul, Kaspersky Endpoint Security creează o copie de rezervă în caz că obiectul trebuie restaurat ulterior. Kaspersky Endpoint Security mută copia de rezervă în Carantină.
    • Executare scanare zone critice. Dacă această opțiune este selectată, Kaspersky Endpoint Security execută activitatea Scanare zone critice. În mod implicit, Kaspersky Endpoint Security scanează memoria kernel, procesele care se execută și sectoarele de boot ale discurilor.
12. Accesați secțiunea Advanced.
13. Selectați tipurile de date (documente IOC) care trebuie analizate ca parte a activității.

    Kaspersky Endpoint Security selectează automat tipurile de date (documente IOC) pentru IOC Scan activitate în conformitate cu conținutul IOC files încărcat. Nu este recomandat să deselectați tipurile de date.

    În plus, puteți configura domeniile de scanare pentru următoarele tipuri de date:

    • Files - FileItem. Setați un Domeniu de scanare IOC pe computer utilizând domenii prestabilite.

      În mod implicit, Kaspersky Endpoint Security scanează pentru depistarea IOC numai zonele importante ale computerului, cum ar fi directorul Descărcări, desktop-ul, directorul cu fișierele temporare ale sistemului de operare etc. De asemenea, puteți adăuga manual și domeniul de scanare.

    • Windows event log - EventLogItem. Introduceți perioada de timp în care au fost înregistrate evenimentele. De asemenea, puteți selecta jurnalele de evenimente Windows pentru scanarea IOC: jurnalul de evenimente al aplicației, jurnalul de evenimente al sistemului și jurnalul de evenimente de securitate.

    Pentru tipul de date Windows registry - RegistryItem Kaspersky Endpoint Security scanează un set de chei de registru.

14. Faceți clic pe butonul Save.
15. Bifați caseta de selectare de lângă activitate.
16. Faceți clic pe butonul Executare.

Ca urmare, Kaspersky Endpoint Security execută căutarea indicatorilor de compromitere pe computer. Puteți vizualiza rezultatele căutării în proprietățile activităților din secțiunea Results. Puteți vizualiza informațiile despre indicatorii de compromis detectați în proprietățile sarcinii: Application settings → IOC Scan Results.

Rezultatele scanării IOC sunt păstrate timp de 30 de zile. După această perioadă, Kaspersky Endpoint Security șterge automat intrările cele mai vechi.