Quét các dấu hiệu về sự xâm nhập (tác vụ độc lập)

Một Dấu hiệu về sự xâm nhập (IOC) là một tập hợp dữ liệu về một đối tượng hoặc hoạt động cho biết sự truy cập trái phép vào máy tính (xâm nhập dữ liệu). Ví dụ: nhiều nỗ lực đăng nhập không thành công vào hệ thống có thể cấu thành một Dấu hiệu về sự xâm nhập. Tác vụ Quét IOC cho phép tìm các Dấu hiệu về sự xâm nhập trên máy tính và thực hiện các biện pháp ứng phó với mối đe dọa.

Kaspersky Endpoint Security sẽ tìm kiếm các dấu hiệu về sự xâm nhập bằng cách sử dụng các tập tin IOC. Tập tin IOC là các tập tin chứa các tập hợp dấu hiệu mà ứng dụng cố gắng đối chiếu để đếm một lần phát hiện. Các tập tin IOC phải tuân theo tiêu chuẩn OpenIOC. Kaspersky Endpoint Security sẽ tự động tạo các tập tin IOC cho Kaspersky Sandbox.

Chế độ chạy tác vụ quét IOC

Ứng dụng sẽ tạo các tác vụ quét IOC độc lập cho Kaspersky Sandbox. Tác vụ quét IOC độc lập là một tác vụ nhóm được tạo tự động khi phản ứng với một mối đe dọa được phát hiện bởi Kaspersky Sandbox. Kaspersky Endpoint Security tự động tạo tập tin IOC. Các tập tin IOC tùy chỉnh không được hỗ trợ. Tác vụ sẽ tự động bị xóa sau 30 ngày kể từ thời điểm tạo. Để biết thêm chi tiết về các tác vụ quét IOC độc lập, hãy tham khảo Trợ giúp của Kaspersky Sandbox.

Thiết lập tác vụ quét IOC

Kaspersky Sandbox có thể tự động tạo và chạy tác vụ Quét IOC khi phản ứng với các mối đe dọa.

Bạn chỉ có thể cấu hình thiết lập trong Bảng điều khiển web.

Bạn cần Kaspersky Security Center 13.2 để các tác vụ quét IOC độc lập của Kaspersky Sandbox hoạt động.

Để thay đổi thiết lập của tác vụ Quét IOC:

  1. Trong cửa sổ chính của Bảng điều khiển web, hãy chọn DevicesTasks.

    Danh sách tác vụ sẽ mở.

  2. Nhấn vào tác vụ IOC Scan của Kaspersky Endpoint Security.

    Cửa sổ thuộc tính tác vụ sẽ được mở ra.

  3. Chọn thẻ Application settings.
  4. Vào mục IOC scan settings.
  5. Cấu hình các hành động khi phát hiện IOC:
    • Move copy to Quarantine, delete object. Nếu tùy chọn này được chọn, Kaspersky Endpoint Security sẽ xóa đối tượng độc hại được tìm thấy trên máy tính. Trước khi xóa đối tượng, Kaspersky Endpoint Security sẽ tạo một bản sao lưu trong trường hợp đối tượng cần được khôi phục sau này. Kaspersky Endpoint Security sẽ di chuyển bản sao lưu vào Khu vực cách ly.
    • Run scan of critical areas. Nếu tùy chọn này được chọn, Kaspersky Endpoint Security sẽ chạy tác vụ Quét khu vực quan trọng. Theo mặc định, Kaspersky Endpoint Security sẽ quét nhân kernel, các tiến trình đang chạy, và phân vùng khởi động ổ đĩa.
  6. Cấu hình chế độ chạy tác vụ Quét IOC bằng cách sử dụng hộp kiểm Run only when the computer is idle. Hộp kiểm này bật / tắt chức năng đình chỉ tác vụ Quét IOC khi tài nguyên máy tính bị hạn chế. Kaspersky Endpoint Security sẽ tạm ngưng tác vụ Quét IOC nếu trình bảo vệ màn hình đang tắt và máy tính đang được mở khóa.

    Tùy chọn lịch này cho phép bạn bảo tiết kiệm nguyên máy tính khi máy tính đang được sử dụng.

  7. Lưu các thay đổi của bạn.

Bạn có thể xem kết quả tác vụ trong các thuộc tính tác vụ trong mục Results. Bạn có thể xem thông tin về các dấu hiệu về sự xâm nhập được phát hiện trong thuộc tính của tác vụ: Application settingsIOC Scan Results.

Kết quả quét IOC được lưu trong vòng 30 ngày. Sau khoảng thời gian này, Kaspersky Endpoint Security sẽ tự động xóa các mục cũ nhất.

Về đầu trang