Поиск индикаторов компрометации (автономная задача)

Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.

Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC. Kaspersky Endpoint Security автоматические формирует IOC-файлы для работы Kaspersky Sandbox.

Режим запуска задачи Поиск IOC

Для работы Kaspersky Sandbox приложение создает автономные задачи поиска IOC. Автономная задача поиска IOC – групповая задача, которая создается автоматически при реагировании на угрозу, обнаруженную Kaspersky Sandbox. Kaspersky Endpoint Security автоматически формирует IOC-файл. Работа пользователя с IOC-файлами не предусмотрена. Задачи автоматически удаляются через 30 дней с момента создания. Подробнее об автономных задачах поиска IOC см. в справке Kaspersky Sandbox.

Настройка задачи Поиск IOC

При реагировании на угрозы Kaspersky Sandbox автоматически создает и запускает задачи Поиск IOC.

Вы можете настроить параметры задачи только в Web Console.

Для работы с автономными задачами поиска IOC требуется Kaspersky Security Center версии 13.2.

Чтобы изменить параметры задачи Поиск IOC, выполните следующие действия:

  1. В главном окне Web Console выберите УстройстваЗадачи.

    Откроется список задач.

  2. Нажмите на задачу Kaspersky Endpoint Security Поиск IOC.

    Откроется окно свойств задачи.

  3. Выберите закладку Параметры программы.
  4. Перейдите в раздел Настройки поиска IOC.
  5. Настройте действия при обнаружении индикатора компрометации:
    • Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.
    • Запускать проверку важных областей. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
  6. Настройте режим запуска задачи поиска IOC с помощью флажка Выполнять только во время простоя компьютера. Флажок включает / выключает функцию, которая приостанавливает задачу Поиск IOC, если ресурсы компьютера заняты. Kaspersky Endpoint Security приостанавливает задачу Поиск IOC, если не включена экранная заставка и разблокирован компьютер.

    Этот вариант расписания позволяет экономить вычислительную мощность компьютера во время работы.

  7. Сохраните внесенные изменения.

Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты. Информацию об обнаруженных индикаторах компрометации вы можете посмотреть в свойствах задачи Параметры программыРезультаты поиска IOC.

Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.

В начало