Analizar en busca de indicadores de compromiso (IOC)

Un Indicador de compromiso (IOC) es un conjunto de datos sobre un objeto o actividad que indica el acceso no autorizado al equipo (compromiso de datos). Por ejemplo, muchos intentos fallidos de iniciar sesión en el sistema pueden constituir un indicador de compromiso. Las tareas de Análisis de IOC permiten encontrar indicadores de compromiso en el equipo y tomar medidas de respuesta a la amenaza.

Kaspersky Endpoint Security busca indicadores de compromiso utilizando archivos IOC. Los archivos IOC son archivos que contienen los conjuntos de indicadores que la aplicación intenta hacer coincidir para contar una detección. Los archivos IOC deben cumplir con el estándar OpenIOC. Kaspersky Endpoint Security crea archivos IOC automáticamente y permite cargar archivos IOC preparados por el usuario. Si desea añadir un indicador de compromiso de forma manual, lea los requerimientos para archivos de IOC.

El archivo que puede descargar al hacer clic en el enlace a continuación contiene una tabla con la lista completa de términos de IOC del estándar de OpenIOC, compatibles con la solución Kaspersky Endpoint Detection and Response.

DESCARGAR EL ARCHIVO IOC_TERMS.XLSX

Modos de ejecución de la tarea de análisis de IOC

Kaspersky Endpoint Security permite ejecutar el análisis de IOC en los siguientes modos:

• La tarea de análisis de IOC estándar es una tarea grupal o local que se crea y configura manualmente en Web Console. Las tareas se ejecutan mediante archivos IOC preparados por el usuario.
• La tarea de análisis de IOC independiente es una tarea de grupo que se crea automáticamente al reaccionar a una amenaza detectada por Kaspersky Sandbox. Kaspersky Endpoint Security genera automáticamente el archivo de IOC. Los archivos IOC personalizados no son compatibles. Las tareas se eliminan automáticamente siete días después de la última hora de inicio o creación, si la tarea nunca se ejecutó. Para obtener más detalles sobre las tareas de análisis de IOC independientes, consulte la Ayuda de Kaspersky Sandbox.

Ejecutar la tarea análisis de IOC

Kaspersky Sandbox puede crear tareas de Análisis de IOC de forma automática cuando reacciona a amenazas. En Kaspersky Endpoint Detection and Response Optimum, solo puede crear tareas de Análisis de IOC de forma manual.

Puede crear tareas de análisis de IOC manualmente:

• En los detalles de la alerta.

  Detalles de la alerta es una herramienta para ver la totalidad de la información recolectada sobre una amenaza detectada y administrar las acciones de respuesta. Detalles de la alerta incluye, por ejemplo, el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de detalles de la alerta, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum.

• Utilizar el Asistente de tareas.

Puede configurar los ajustes solo en Web Console.

Para crear tareas independientes de análisis de IOC para respuesta a la amenaza, se requiere Kaspersky Security Center versión 13.2.

Para crear una tarea de análisis de IOC, haga lo siguiente:

1. En la ventana principal de Web Console, seleccione Dispositivos → Tareas.

   Se abre la lista de tareas.

2. Haga clic en el botón Añadir.

   El Asistente de tareas comienza.

3. Configure los parámetros de la tarea:
   1. En la lista desplegable Aplicación, seleccione Kaspersky Endpoint Security para Windows (11.7.0).
   2. En la lista desplegable Tipo de tarea, seleccione Análisis de IOC.
   3. En el campo Nombre de la tarea, escriba una descripción breve.
   4. En la sección Seleccionar a qué dispositivos se asignará la tarea, elija el alcance de la tarea.
4. Seleccione los dispositivos según la opción seleccionada de alcance de tarea. Haga clic en Siguiente.
5. Introduzca las credenciales de la cuenta del usuario cuyos derechos desea utilizar para ejecutar la tarea. Haga clic en Siguiente.

   De forma predeterminada, Kaspersky Endpoint Security inicia la tarea como la cuenta de usuario del sistema (SYSTEM).

   La cuenta del sistema (SYSTEM) no tiene permiso para ejecutar la tarea de análisis de IOC en las unidades de red. Si desea ejecutar la tarea para una unidad de red, seleccione la cuenta de un usuario que tenga acceso a esa unidad.

   Para ejecutar tareas de análisis de IOC independientes en unidades de red, debe elegir manualmente la cuenta de usuario que tiene acceso a esa unidad en las propiedades de la tarea.

6. Finalice el asistente haciendo clic en el botón Finalizar.

   La nueva tarea aparecerá en la lista de tareas.

7. Haga clic en nueva tarea.

   Se abre la ventana propiedades de la tarea.

8. Seleccione la ficha Configuración de la aplicación.
9. Vaya a la sección Configuración del análisis de IOC.
10. Cargue los archivos IOC para buscar indicadores de compromiso.

    Después de cargar los archivos IOC, puede ver la lista de indicadores de los archivos IOC. Si es necesario, puede excluir temporalmente los archivos IOC de la cobertura de la tarea.

    No se recomienda añadir ni eliminar archivos IOC después de ejecutar la tarea. Esto puede hacer que los resultados del análisis de IOC se muestren incorrectamente para ejecuciones anteriores de la tarea. Para buscar indicadores de compromiso por nuevos archivos IOC, se recomienda añadir nuevas tareas.

11. Configure acciones al detectar un IOC:
    • Aísle el equipo de la red. Si se selecciona esta opción, Kaspersky Endpoint Security aísla el equipo de la red para evitar que la amenaza se propague. Puede configurar la duración del aislamiento en la configuración del componente Endpoint Detection and Response.
    • Mover la copia a la cuarentena, eliminar objeto. Si se selecciona esta opción, Kaspersky Endpoint Security elimina el objeto malicioso que se encuentra en el equipo. Antes de eliminar el objeto, Kaspersky Endpoint Security crea una copia de seguridad en caso de que sea necesario restaurar el objeto más adelante. Kaspersky Endpoint Security mueve la copia de seguridad a la cuarentena.
    • Ejecutar análisis de áreas críticas. Si se selecciona esta opción, Kaspersky Endpoint Security ejecuta la tarea de análisis de áreas críticas. De forma predeterminada, Kaspersky Endpoint Security analiza la memoria del núcleo, ejecutando procesos, y los sectores de arranque del disco.
12. Vaya a la sección Avanzado.
13. Seleccione los tipos de datos (documentos del IOC) que se deben analizar como parte de la tarea.

    Kaspersky Endpoint Security selecciona tipos de datos (documentos de IOC) de manera automática para la tarea de análisis de IOC, de acuerdo con el contenido de los archivos de IOC cargados. No se recomienda deseleccionar tipos de datos.

    También puede configurar coberturas de análisis para los siguientes tipos de datos:

    • Archivos FileItem. Configure una cobertura de análisis de IOC en el ordenador mediante coberturas preconfiguradas.

      De forma predeterminada, Kaspersky Endpoint Security analiza en busca de IOC solo en áreas importantes del equipo, como la carpeta de Descargas, el escritorio, la carpeta de archivos temporales del sistema operativo, etc. También puede añadir la cobertura del análisis de forma manual.

    • Registro de eventos de Windows EventLogItem. Introduzca el período en el cual se registran los eventos. También puede seleccionar registros de eventos de Windows para el análisis de IOC: el registro de eventos de la aplicación, el registro de eventos del sistema y el registro de eventos de seguridad.

    Para el tipo de datos Registro de Windows RegistryItem, Kaspersky Endpoint Security analiza un conjunto de claves de registro.

14. Haga clic en el botón Guardar.
15. Active la casilla ubicada junto a la tarea.
16. Haga clic en el botón Ejecutar.

Como resultado, Kaspersky Endpoint Security ejecuta la búsqueda de indicadores de compromiso en el equipo. Puede ver los resultados de la tarea en las propiedades de la tarea, dentro de la sección Resultados. Puede ver la información acerca de los indicadores de compromiso detectados en las propiedades de la tarea: Configuración de la aplicación → Resultados del análisis de IOC.

Los resultados del análisis de IOC se conservan durante 30 días. Después de dicho período, Kaspersky Endpoint Security elimina automáticamente las entradas más antiguas.

Inicio de página