掃描洩露指示器(獨立工作)

洩露指示器 (IOC)是一個物件或者活動的資料集合,表明對電腦的未經授權存取(資料洩露)。例如,許多登入系統的不成功嘗試可以構成一個洩露指示器。“IOC 掃描”工作可發現電腦上的洩露指示器並採取威脅回應措施。

Kaspersky Endpoint Security 可使用 IOC 檔案搜尋洩露指示器。IOC 檔案是包含應用程式試圖匹配以計數偵測的指示器集合的檔案。IOC 檔案必須符合 OpenIOC 標準。Kaspersky Endpoint Security 自動為 Kaspersky Sandbox 產生 IOC 檔案。

IOC 掃描工作執行模式

應用程式為 Kaspersky Sandbox 建立獨立的 IOC 掃描工作。”獨立 IOC 掃描工作“是一個當回應 Kaspersky Sandbox偵測到的威脅時自動建立的群組工作。Kaspersky Endpoint Security 會自動產生 IOC 檔案。自訂 IOC 檔案不受支援。工作會在建立時間 30 天后被自動刪除。有關獨立 IOC 掃描工作的更多詳情,請參見 Kaspersky Sandbox 說明

IOC 掃描工作設定

Kaspersky Sandbox 可以在回應威脅時自動建立並執行“IOC 掃描”工作。

您只可以在網頁主控台中配置設定。

您需要卡巴斯基安全管理中心 13.2 以便 Kaspersky Sandbox 的獨立 IOC 掃描工作有效。

要變更 IOC 掃描工作的設定:

  1. 在網頁主控台的主視窗中,選取“裝置”→“工作”。

    工作清單開啟。

  2. 點擊 Kaspersky Endpoint Security 的“IOC 掃描”工作。

    工作內容視窗將開啟。

  3. 選取“應用程式設定”標籤。
  4. 轉到“IOC 掃描設定”區域。
  5. 配置偵測到 IOC 後的動作:
    • 將副本移動到隔離區,刪除物件。如果選擇該選項,Kaspersky Endpoint Security 會刪除在電腦上發現的惡意物件。在刪除物件之前,Kaspersky Endpoint Security 會建立備份副本以防物件以後需要還原。Kaspersky Endpoint Security 會將備份副本移動到隔離。
    • 對關鍵區域執行掃描。如果選擇該選項,Kaspersky Endpoint Security 將執行“關鍵區域掃描工作”。預設情況下,Kaspersky Endpoint Security 會掃描內核記憶體、執行處理序和磁碟的開啟磁區。
  6. 使用“僅在電腦空閒時執行”核取方塊配置 IOC 掃描工作執行模式。此核取方塊可啟用/停用當電腦資源有限時暫停IOC 掃描工作的功能。當螢幕防護裝置關閉且電腦解除鎖定時,Kaspersky Endpoint Security 將暫停IOC 掃描工作。

    此排程選項可讓您在使用電腦時節省電腦資源。

  7. 存儲變更。

您可以在工作內容的“結果”區域中檢視工作結果。您可以在工作內容中檢視偵測到的洩露指示器的有關資訊:應用程式設定IOC 掃描結果

IOC 掃描結果保留 30 天。在此期間之後,Kaspersky Endpoint Security 將自動移除最舊條目。

頁面頂部