妥协的指标扫描(标准任务)

妥协的指标 (IOC) 是一组关于对象或活动的数据,表示未经授权访问计算机(数据泄露)。例如,许多登录系统的尝试都不成功,这可能构成妥协的指标。IOC 扫描任务允许在计算机上查找妥协的指标,并采取威胁响应措施。

Kaspersky Endpoint Security 使用 IOC 文件搜索妥协的指标。IOC 文件是包含应用程序尝试匹配以计数检测的指标集的文件。IOC 文件必须符合 OpenIOC 标准

IOC 扫描任务运行模式

Kaspersky Endpoint Detection and Response 允许您创建标准 IOC 扫描任务以检测受损数据。标准 IOC 扫描任务是在 Web Console 中手动创建和配置的组或本地任务。任务使用用户准备的 IOC 文件运行。如果您要手动添加妥协的指标,请阅读 IOC 文件需求

您可以通过单击下面的链接下载该文件,该文件包含一个表,其中包含 OpenIOC 标准的 IOC 术语的完整列表。

下载 IOC_TERMS.XLSX 文件

当 Kaspersky Endpoint Security 作为“Kaspersky Sandbox”解决方案的一部分使用时,它也支持独立 IOC 扫描任务

创建一个 IOC 扫描任务

您可以手动创建 IOC 扫描任务:

您可以在 Web 控制台和云控制台中为 EDR Optimum 配置任务。EDR Expert 的任务设置仅在云控制台中可用。

要创建一个 IOC 扫描任务:

  1. 在 Web 控制台的主窗口中,选择“设备”→“任务”。

    任务列表打开。

  2. 单击“添加”按钮。

    “任务向导”将启动。

  3. 配置任务设置:
    1. 在“应用程序”下拉列表中,选择“Kaspersky Endpoint Security for Windows (11.10.0)”。
    2. 在“任务类型”下拉列表中,选择“IOC 扫描”。
    3. 在“任务名称”字段中,输入简要说明。
    4. 在“选择要对其分配任务的设备”块中,选择任务范围。
  4. 按照所选任务范围选项选择设备。转到下一步。
  5. 输入要使用其权限运行任务的用户的账户凭证。转到下一步。

    默认下,Kaspersky Endpoint Security 以系统用户账户 (SYSTEM) 启动任务。

    系统账户(SYSTEM)没有权限在网络驱动器上执行 IOC 扫描任务。如果您要为网络驱动器运行任务,选择对该驱动器具有访问权限的用户账户。

    对于网络驱动器上的独立 IOC 扫描任务,您需要在任务属性中手动选择具有该驱动器访问权限的用户账户。

  6. 退出向导。

    在任务列表中将显示一个新任务。

  7. 单击新任务。

    任务属性窗口将打开。

  8. 选择“应用程序设置”选项卡。
  9. 转到IOC 扫描设置区域。
  10. 加载 IOC 文件以搜索妥协的指标。

    加载 IOC 文件后,您可以查看 IOC 文件中的指标列表。

    不建议在运行任务后添加或删除 IOC 文件。这可能会导致 IOC 扫描结果在任务之前的运行中显示不正确。要通过新的 IOC 文件搜索妥协的指标,建议添加新任务。

  11. 配置 IOC 检测操作:
    • 从网络隔离计算机”。如果选择此选项,Kaspersky Endpoint Security 将计算机与网络隔离,以防止威胁扩散。您可以在 Endpoint Detection and Response 组件设置中配置隔离的持续时间。
    • 将副本移动到隔离区,删除对象”。如果选择此选项,Kaspersky Endpoint Security 删除在计算机上发现的恶意对象。删除对象之前,Kaspersky Endpoint Security 创建备份副本,以便日后对其进行恢复。Kaspersky Endpoint Security 移动备份副本到隔离区。
    • 对关键区域运行扫描”。如果选择此选项,Kaspersky Endpoint Security 运行关键区域扫描任务。默认情况下, Kaspersky Endpoint Security 会扫描内核内存、运行进程和磁盘的引导扇区。
  12. 转到高级区域。
  13. 选择作为任务的一部分必须被分析的数据类型 (IOC 文档)。

    Kaspersky Endpoint Security 根据加载的 IOC 文件的内容自动选择 IOC 扫描任务的数据类型(IOC 文档)。不建议取消选择数据类型。

    您还可以为以下数据类型配置扫描范围:

    • 文件 – FileItem”。使用预设范围在计算机上设置 IOC 扫描范围。

      默认下,Kaspersky Endpoint Security 仅在计算机的重要区域扫描 IOC,例如“下载”文件夹、桌面、临时操作系统文件文件夹等等。您也可以手动添加扫描范围。

    • Windows 事件日志 – EventLogItem”。输入记录事件的时间段。您还可以选择必须使用哪些 Windows 事件日志进行 IOC 扫描。默认情况下,会选择以下事件日志:应用程序事件日志、系统事件日志和安全事件日志。

    对于数据类型Windows 注册表 – RegistryItem,Kaspersky Endpoint Security 扫描一组注册表键集合

  14. 在任务属性窗口中,选择“计划”选项卡。
  15. 配置任务计划。

    LAN 唤醒不可用于此任务。确保计算机已打开以运行任务。

  16. 保存更改。
  17. 选中该任务旁边的复选框。
  18. 单击“运行”按钮。

结果,Kaspersky Endpoint Security 运行搜索以在计算机上查找妥协的指标。您可以在“结果”部分的“任务属性”中查看任务结果。您可以在任务属性中查看有关检测到的妥协的指标的信息:应用程序设置IOC 扫描结果

IOC 扫描结果被保存 30 天。在此时间之后,Kaspersky Endpoint Security 将自动删除最早条目。

页面顶部