Um Indicador de compromisso (IOC) é um conjunto de dados sobre um objeto ou atividade que indica acesso não autorizado ao computador (comprometimento de dados). Por exemplo, muitas tentativas malsucedidas de entrar no sistema podem constituir um indicador de compromisso. As tarefas de verificação de IOC permitem localizar indicadores de comprometimento no computador e tomar as medidas de resposta a ameaças.
O Kaspersky Endpoint Security procura indicadores de comprometimento usando arquivos IOC. Arquivos IOC são arquivos contendo os conjuntos de indicadores que o aplicativo tenta combinar para contar uma detecção. Os arquivos IOC devem estar em conformidade com o padrão OpenIOC.
Modo de execução de tarefas Verificação de IOC
O Kaspersky Endpoint Detection and Response permite criar tarefas padrão de verificação de IOC para detectar dados comprometidos. Tarefa de verificação de IOC padrão é um grupo ou tarefa local criado e configurado manualmente no Web Console. As tarefas são executadas usando arquivos IOC preparados pelo usuário. Caso queira adicionar um indicador de comprometimento manualmente, leia os requisitos para arquivos IOC.
O arquivo que pode ser baixado clicando no link abaixo contém uma tabela com a lista completa dos termos de IOC do padrão OpenIOC.
DOWNLOAD DO ARQUIVO IOC TERMS.XLSX
O Kaspersky Endpoint Security também tem suporte para tarefas de verificação de IOC autônomas quando o aplicativo é usado como parte da solução Kaspersky Sandbox.
Criação de uma tarefa de verificação de IOC
É possível criar tarefas de Verificação de IOC manualmente:
Destalhes de alertas é uma ferramenta para visualizar todas as informações coletadas sobre uma ameaça detectada. Os detalhes da alertas incluem, por exemplo, o histórico de arquivos aparentes no computador. Para obter detalhes sobre o gerenciamento dos detalhes de alertas, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum e a Ajuda do Kaspersky Endpoint Detection and Response Expert.
É possível configurar a tarefa para o EDR Optimum no Web Console e Cloud Console. As configurações da tarefa para EDR Expert estão disponíveis somente no Cloud Console.
Para criar uma tarefa de verificação de IOC:
A lista de tarefas é aberta.
O Assistente de Tarefas é iniciado.
Por padrão, o Kaspersky Endpoint Security inicia a tarefa como a conta de usuário do sistema (SISTEMA).
A conta do sistema (SYSTEM) não tem permissão para executar a tarefa Verificação de IOC nas unidades de rede. Caso queira executar a tarefa para uma unidade de rede, selecione a conta de um usuário que tem acesso a essa unidade.
Para tarefas de Verificação de IOC autônomas em unidades de rede, é necessário selecionar manualmente a conta de usuário com acesso a esta unidade nas propriedades da tarefa.
Uma nova tarefa será exibida na lista de tarefas.
A janela de propriedades da tarefa é exibida.
Depois de carregar os arquivos IOC, é possível visualizar a lista de indicadores dos arquivos IOC.
Adicionar ou remover arquivos IOC após a execução da tarefa não é recomendado. Isso pode fazer com que os resultados da verificação de IOC sejam exibidos incorretamente para execuções anteriores da tarefa. Para pesquisar os indicadores de comprometimento por novos arquivos IOC, é recomendável adicionar novas tarefas.
O Kaspersky Endpoint Security seleciona automaticamente os tipos de dados para a tarefa de verificação de IOC de acordo com o conteúdo dos arquivos IOC carregados. Não é recomendado remover a seleção dos tipos de dados.
Ainda é possível configurar escopos da verificação para os seguintes tipos de dados:
Por padrão, o Kaspersky Endpoint Security verifica IOCs somente em áreas importantes do computador, como a pasta Downloads, a área de trabalho, a pasta com arquivos temporários do sistema operacional etc. Também é possível adicionar o escopo da verificação manualmente.
Para o tipo de dados Registro do Windows - RegistryItem, o Kaspersky Endpoint Security verifica um conjunto de chaves do registro.
Wake-on-LAN não está disponível para esta tarefa. Certifique-se de que o computador está ligado para executar a tarefa.
Como resultado, o Kaspersky Endpoint Security executa a pesquisa de indicadores de comprometimento do computador. É possível visualizar os resultados da tarefa, nas propriedades da tarefa, na seção Resultados. É possível visualizar as informações sobre os indicadores de compromisso detectados nas propriedades da tarefa: Configurações do aplicativo → Resultados da verificação de IOC.
Os resultados da verificação de IOC são mantidos por 30 dias. Após esse período, o Kaspersky Endpoint Security exclui as entradas mais antigas automaticamente.
Início da página