فحص مؤشرات الاختراق (IOC)

مؤشر الاختراق (IOC) عبارة عن مجموعة من البيانات حول كائن أو نشاط يشير إلى وصول غير مصرح به إلى الكمبيوتر (اختراق البيانات). على سبيل المثال، من الممكن أن تشكل العديد من المحاولات الفاشلة لتسجيل الدخول إلى النظام مؤشرًا على الاختراق. تتيح مهام فحص مؤشر الاختراق العثور على مؤشرات الاختراق على الكمبيوتر واتخاذ إجراءات الاستجابة للتهديدات.

يبحث Kaspersky Endpoint Security عن مؤشرات الاختراق باستخدام ملفات IOC.‏ ملفات IOC هي ملفات تحتوي على مجموعات المؤشرات التي يحاول التطبيق مطابقتها لإحصاء الاكتشاف. ويجب أن تتوافق ملفات IOC مع معيار OpenIOC. وينشئ Kaspersky Endpoint Security ملفات IOC تلقائيًا ويسمح بتحميل ملفات IOC التي أعدها المستخدم. إذا كنت ترغب في إضافة مؤشر الاختراق يدويًا، فيرجى قراءة متطلبات ملفات IOC.‏

يحتوي الملف الذي يمكنك تنزيله بالنقر فوق الارتباط أدناه على جدول يحتوي على قائمة كاملة بشروط IOC لمعيار OpenIOC المدعوم بواسطة حل Kaspersky Endpoint Detection and Response.‏

تنزيل ملف ‏DOWNLOAD THE IOC_TERMS.XLSX‏

أوضاع تشغيل مهمة فحص IOC

يسمح Kaspersky Endpoint Security بتشغيل فحص IOC في الأوضاع التالية:

مهمة فحص IOC القياسية هي مجموعة أو مهمة محلية يتم إنشاؤها وتكوينها يدويًا في Web Console. ويتم تشغيل المهام باستخدام ملفات IOC التي أعدها المستخدم.
مهمة فحص IOC المستقلة هي مهمة جماعية يتم إنشاؤها تلقائيًا عند الرد على تهديد تم اكتشافه بواسطة Kaspersky Sandbox. وينشئ Kaspersky Endpoint Security ملف IOC تلقائيًا. ولا يتم دعم ملفات IOC المخصصة. ويتم حذف المهام تلقائيًا بعد سبعة أيام من آخر وقت بدء أو وقت الإنشاء إذا لم يتم تشغيل المهمة مطلقًا. وللمزيد من التفاصيل حول مهام فحص IOC المستقلة، يرجى الرجوع إلى تعليمات Kaspersky Sandbox‏‏.‏

تشغيل مهمة فحص IOC

قد ينشئ Kaspersky Sandbox مهام فحص IOC تلقائيًا عند الرد على التهديدات. وفي Kaspersky Endpoint Detection and Response Optimum، يمكنك فقط إنشاء مهام فحص IOC يدويًا.

تستطيع إنشاء مهام فحص IOC يدويًا:

في تفاصيل التنبيه.
تفاصيل الاكتشاف عبارة عن أداة لعرض كامل المعلومات التي تم جمعها حول التهديد المكتشف وإدارة إجراءات الاستجابة. وتتضمن تفاصيل الاكتشاف، على سبيل المثال، محفوظات الملفات التي تظهر على الكمبيوتر. وللحصول على التفاصيل عن إدارة تفاصيل الاكتشاف، يرجى الرجوع إلى تعليمات Kaspersky Endpoint Detection and Response Optimum‏.‏
استخدام معالج المهام.

يمكنك تكوين الإعدادات فقط في Web Console.‏

لإنشاء مهام فحص IOC مستقلة للاستجابة للتهديدات، يلزم وجود الإصدار 13.2 من Kaspersky Security Center.‏

لإنشاء مهمة فحص IOC:‏

في النافذة الرئيسية لـ Web Console، حدد الأجهزة ← المهام.‏
تفتح قائمة المهام.
انقر فوق الزر إضافة.‏
يبدأ معالج المهمة.
تكوين إعدادات المهمة:
1. في القائمة المنسدلة التطبيق، حدد ‎Kaspersky Endpoint Security for Windows ‎(11.7.0)‎.
2. في القائمة المنسدلة نوع المهمة، حدد فحص IOC.
3. في الحقل اسم المهمة، أدخل وصفًا مختصرًا.
4. في القسم حدد الأجهزة التي سيتم تعيين المهمة لها، حدد نطاق المهمة.
حدد الأجهزة وفقًا لخيار نطاق المهمة المحدد. انقر فوق الزر التالي.
أدخل بيانات اعتماد حساب المستخدم الذي تريد استخدام حقوقه لتشغيل المهمة. انقر فوق الزر التالي.
افتراضيًا، يبدأ Kaspersky Endpoint Security المهمة كحساب مستخدم للنظام (SYSTEM).‏

لا يمتلك حساب النظام (SYSTEM) إذنًا لأداء مهمة فحص IOC على محركات أقراص الشبكة. وإذا كنت تريد تشغيل المهمة لمحرك أقراص الشبكة، فحدد حساب المستخدم الذي يمتلك حق الوصول إلى محرك الأقراص هذا.

لمهام فحص IOC المستقلة على محركات أقراص الشبكة، في خصائص المهمة، تحتاج إلى تحديد حساب المستخدم الذي يمتلك حق الوصول إلى محرك الأقراص هذا يدويًا.
قم بإنهاء المعالج عن طريق النقر فوق الزر إنهاء.‏
سيتم عرض مهمة جديدة في قائمة المهام.
انقر فوق المهمة الجديدة.
نافذة خصائص المهمة.
حدد علامة التبويب إعدادات التطبيق.
انتقل إلى القسم إعدادات فحص IOC.
قم بتحميل ملفات IOC للبحث عن مؤشرات الاختراق.
بعد تحميل ملفات IOC، يمكنك عرض قائمة المؤشرات من ملفات IOC.‏ إذا لزم الأمر، يمكنك استبعاد ملفات IOC مؤقتًا من نطاق المهمة.
لا يوصى بإضافة ملفات IOC أو إزالتها بعد تشغيل المهمة. ومن الممكن أن يتسبب هذا في عرض نتائج فحص IOC بشكل غير صحيح لعمليات التشغيل السابقة للمهمة. وللبحث في مؤشرات الاختراق حسب ملفات IOC الجديدة، يوصى بإضافة مهام جديدة.
تكوين الإجراءات عند اكتشاف IOC:‏
- Isolate computer from the network. في حالة تحديد هذا الخيار، يعزل Kaspersky Endpoint Security الكمبيوتر من الشبكة لمنع انتشار التهديد. ويمكنك تكوين مدة العزل في إعدادات مكون Endpoint Detection and Response .
- نقل النسخة إلى العزل، وحذف الكائن. في حالة تحديد هذا الخيار، يحذف Kaspersky Endpoint Security الكائن الضار الموجود على الكمبيوتر. قبل حذف الكائن، يُنشئ Kaspersky Endpoint Security نسخة احتياطية في حالة الحاجة إلى استعادة الكائن لاحقًا. ينقل Kaspersky Endpoint Security النسخة الاحتياطية إلى العزل.
- تشغيل فحص المناطق الحرجة. في حالة تحديد هذا الخيار، يقوم Kaspersky Endpoint Security بتشغيل مهمة فحص المناطق الحرجة. بشكلٍ افتراضي، يفحص Kaspersky Endpoint Security ذاكرة kernel والعمليات قيد التشغيل وقطاعات تمهيد القرص.
انتقل إلى القسم Advanced.‏
حدد أنواع البيانات (مستندات IOC) التي يجب تحليلها كجزء من المهمة.
يحدد Kaspersky Endpoint Security تلقائيًا أنواع البيانات (مستندات IOC) لمهمة فحص IOC وفقًا لمحتوى ملفات IOC الذي تم تحميله. ولا يوصى بإلغاء تحديد أنواع البيانات.

يمكنك أيضًا تكوين نطاقات الفحص لأنواع البيانات التالية:
- Files - FileItem.‏ قم بتعيين نطاق فحص IOC على الكمبيوتر باستخدام نطاقات محددة مسبقًا.
  بشكل افتراضي، يبحث Kaspersky Endpoint Security عن مهام IOC فقط في المناطق المهمة على الكمبيوتر، مثل مجلد التنزيلات وسطح المكتب والمجلد الذي يحتوي على ملفات نظام التشغيل المؤقتة، وما إلى ذلك. ويمكنك أيضًا إضافة نطاق الفحص يدويًا.
- Windows event log - EventLogItem. أدخل الفترة الزمنية التي تم تسجيل الأحداث فيها. ويمكنك أيضًا تحديد سجلات أحداث Windows لفحص IOC: سجل أحداث التطبيق وسجل أحداث النظام وسجل أحداث الأمان.
لنوع البيانات Windows registry - RegistryItem يفحص Kaspersky Endpoint Security مجموعة من مفاتيح التسجيل.‏
انقر فوق الزر Save.
حدد خانة الاختيار المجاورة للمهمة.
انقر فوق الزر Run.

نتيجة لذلك، يقوم Kaspersky Endpoint Security بتشغيل البحث عن مؤشرات الاختراق على الكمبيوتر. ويمكنك عرض نتائج المهمة في خصائص المهمة في القسم Results. ويمكنك عرض المعلومات حول المؤشرات المكتشفة للاختراق في خصائص المهمة: إعدادات التطبيق ← IOC Scan Results.‏

يتم الاحتفاظ بنتائج فحص IOC لمدة 30 يومًا. وبعد هذه الفترة، يحذف برنامج Kaspersky Endpoint Security تلقائيًا الإدخالات القديمة.

أعلى الصفحة