Untersuchung auf Kompromittierungsindikatoren (IOC)

Ein Kompromittierungsindikator (IOC) ist ein Datensatz, der sich auf ein Objekt oder eine Aktivität bezieht und der auf unbefugten Zugriff auf den Computer (Kompromittierung von Daten) hinweist. Beispielsweise können viele erfolglose Versuche, sich beim System anzumelden, einen Kompromittierungsindikator darstellen. Mithilfe von IOC-Untersuchungsaufgaben können Kompromittierungsindikatoren auf dem Computer gefunden werden, um dann Maßnahmen zur Reaktion auf Bedrohungen zu ergreifen.

Kaspersky Endpoint Security sucht mithilfe von IOC-Dateien nach Kompromittierungsindikatoren. IOC-Dateien sind Dateien, die Sätze von Indikatoren enthalten, mit denen die Anwendung nach Übereinstimmungen sucht. IOC-Dateien müssen dem OpenIOC-Standard entsprechen. Kaspersky Endpoint Security erstellt automatisch IOC-Dateien. Zusätzlich können vom Benutzer erstellte IOC-Dateien geladen werden. Wenn Sie einen Kompromittierungsindikator manuell hinzufügen möchten, lesen Sie bitte die Anforderungen für IOC-Dateien.

Die Datei, die Sie über den untenstehenden Link herunterladen können, enthält eine Tabelle mit einer vollständigen Liste der IOC-Begriffe des OpenIOC-Standards, die von der Lösung Kaspersky Endpoint Detection and Response unterstützt werden.

DATEI IOC_TERMS.XLSX HERUNTERLADEN

Ausführungsmodi für IOC-Untersuchungsaufgaben

Kaspersky Endpoint Security kann die IOC-Untersuchung in den folgenden Modi ausführen:

IOC-Untersuchungsaufgabe ausführen

Als Reaktion auf Bedrohungen erstellt Kaspersky Sandbox eventuell automatisch IOC-Untersuchungsaufgaben. In Kaspersky Endpoint Detection and Response Optimum können Sie IOC-Untersuchungsaufgaben nur manuell erstellen.

Sie können die Aufgaben IOC-Untersuchung manuell erstellen:

Die Einstellungen können nur über die „Web Console“ konfiguriert werden.

Um eigenständige IOC-Untersuchungsaufgaben zur Reaktion auf Bedrohungen zu erstellen, ist Kaspersky Security Center Version 13.2 erforderlich.

Um eine IOC-Untersuchungsaufgabe zu erstellen:

  1. Wählen Sie im Hauptfenster von „Web Console“ den Punkt GeräteAufgaben aus.

    Die Aufgabenliste wird geöffnet.

  2. Klicken Sie auf Hinzufügen.

    Der Assistent für neue Aufgaben wird gestartet.

  3. Passen Sie die Einstellungen der Aufgabe an:
    1. Wählen Sie in der Dropdown-Liste Programm den Punkt Kaspersky Endpoint Security für Windows (11.7.0).
    2. Wählen Sie in der Dropdown-Liste Aufgabentyp die Option IOC-Untersuchung.
    3. Geben Sie im Feld Aufgabenname eine kurze Beschreibung ein.
    4. Wählen Sie im Block Geräte auswählen, denen die Aufgabe zugewiesen wird den Gültigkeitsbereich der Aufgabe aus.
  4. Wählen Sie die Geräte aus. Berücksichtigen Sie dabei die ausgewählte Variante für den Gültigkeitsbereich der Aufgabe. Klicken Sie auf Weiter.
  5. Geben Sie die Anmeldedaten für das Konto des Benutzers ein, mit dessen Rechten Sie die Aufgabe ausführen möchten. Klicken Sie auf Weiter.

    Standardmäßig führt Kaspersky Endpoint Security die Aufgabe unter dem Systembenutzerkonto (SYSTEM) aus.

    Das Systemkonto (SYSTEM) hat keine Berechtigung, die Aufgabe IOC-Untersuchung auf Netzlaufwerken auszuführen. Wenn Sie die Aufgabe für ein Netzlaufwerk ausführen möchten, wählen Sie das Konto eines Benutzers aus, der Zugriff auf dieses Laufwerk hat.

    Für eigenständige IOC-Untersuchungsaufgaben auf Netzlaufwerken müssen Sie in den Aufgabeneigenschaften manuell das Benutzerkonto auswählen, das Zugriff auf dieses Laufwerk hat.

  6. Beenden Sie den Assistenten durch Klick auf Fertig.

    Die neue Aufgabe wird in der Aufgabenliste angezeigt.

  7. Klicken Sie auf die neue Aufgabe.

    Das Fenster mit den Aufgabeneigenschaften wird geöffnet.

  8. Wählen Sie die Registerkarte Programmeinstellungen aus.
  9. Wechseln Sie zum Abschnitt IOC-Untersuchungseinstellungen.
  10. Laden Sie die IOC-Dateien, um nach Kompromittierungsindikatoren zu suchen.

    Nachdem die IOC-Dateien geladen sind, können Sie die Liste der Indikatoren aus den IOC-Dateien ansehen. Bei Bedarf können Sie IOC-Dateien vorübergehend aus dem Aufgabenbereich ausschließen.

    Es wird davon abgeraten, IOC-Dateien nach dem Ausführen der Aufgabe hinzuzufügen oder zu entfernen. Die Folge könnte sein, dass die IOC-Untersuchungsergebnisse für eine zuvor ausgeführte Aufgabe fehlerhaft angezeigt werden. Um Kompromittierungsindikatoren für neue IOC-Dateien zu suchen, wird empfohlen, neue Aufgaben hinzuzufügen.

  11. Passen Sie die Aktionen bei der IOC-Erkennung an:
    • Computer vom Netzwerk isolieren. Wenn diese Option ausgewählt ist, isoliert Kaspersky Endpoint Security den Computer vom Netzwerk, um eine Ausbreitung der Bedrohung zu verhindern. Die Isolationsdauer können Sie in den Einstellungen der Komponente „Endpoint Detection and Response“ anpassen.
    • Kopie in die Quarantäne verschieben, Objekt löschen. Wenn diese Option ausgewählt ist, löscht Kaspersky Endpoint Security das auf dem Computer gefundene schädliche Objekt. Bevor das Objekts gelöscht wird, erstellt Kaspersky Endpoint Security eine Backup-Kopie für den Fall, dass das Objekt später wiederhergestellt werden muss. Kaspersky Endpoint Security verschiebt die Backup-Kopie in die Quarantäne.
    • Untersuchung wichtiger Bereiche ausführen. Wenn diese Option ausgewählt ist, führt Kaspersky Endpoint Security die Aufgabe Untersuchung wichtiger Bereiche aus. Kaspersky Endpoint Security untersucht standardmäßig den Kernel-Speicher, die laufenden Prozesse und die Bootsektoren.
  12. Wechseln Sie zum Abschnitt Erweitert.
  13. Wählen Sie die Datentypen (IOC-Dokumente) aus, die im Rahmen der Aufgabe analysiert werden sollen.

    Kaspersky Endpoint Security wählt automatisch Datentypen (IOC-Dokumente) für die Aufgabe IOC Scan entsprechend dem Inhalt der geladenen IOC-Dateien aus. Es wird nicht empfohlen, die Auswahl von Datentypen aufzuheben.

    Sie können zusätzlich Scanbereiche für die folgenden Datentypen konfigurieren:

    • Dateien - FileItem. Legen Sie einen IOC-Scanbereich auf dem Computer über voreingestellte Bereiche fest.

      Standardmäßig untersucht Kaspersky Endpoint Security nur wichtige Bereiche des Computers auf IOCs. Dazu gehören beispielsweise der Ordner „Downloads“, der Desktop und der Ordner mit temporären Betriebssystemdateien. Sie können den Untersuchungsbereich auch manuell anpassen.

    • Windows-Ereignisprotokoll - EventLogItem. Geben Sie den Zeitraum ein, in dem die Ereignisse protokolliert wurden. Sie können auch Windows-Ereignisprotokolle für das IOC-Scannen auswählen: das Anwendungsereignisprotokoll, das Systemereignisprotokoll und das Sicherheitsereignisprotokoll.

    Beim Datentyp Windows-Registrierung – RegistryItem untersucht Kaspersky Endpoint Security eine Reihe von Registrierungsschlüsseln.

  14. Klicken Sie auf Speichern.
  15. Aktivieren Sie das Kontrollkästchen neben der Aufgabe.
  16. Klicken Sie auf Starten.

Daraufhin durchsucht Kaspersky Endpoint Security den Computer nach Kompromittierungsindikatoren. Die Ergebnisse der Aufgabe können Sie in den Aufgabeneigenschaften im Abschnitt Ergebnisse einsehen. Sie können die Informationen zu erkannten Gefährdungsindikatoren in den Aufgabeneigenschaften anzeigen: ProgrammeinstellungenIOC-Untersuchungsergebnisse.

IOC-Untersuchungsergebnisse werden für 30 Tage gespeichert. Nach diesem Zeitraum löscht Kaspersky Endpoint Security automatisch die ältesten Einträge.

Nach oben