Un indicateur de compromission (IOC) est un ensemble de données concernant un objet ou une activité qui indique un accès non autorisé à l'ordinateur (compromission des données). Par exemple, de nombreuses tentatives infructueuses de se connecter au système peuvent constituer un indicateur de compromission. Les tâches Analyse IOC permettent de trouver des indicateurs de compromission sur l'ordinateur et de prendre des mesures de réponse aux menaces.
Kaspersky Endpoint Security recherche les indicateurs de compromission à l'aide des fichiers IOC. Les fichiers IOC sont des fichiers contenant les ensembles d'indicateurs que l'application essaie de faire correspondre pour compter une détection. Les fichiers IOC doivent être conformes standard OpenIOC. Kaspersky Endpoint Security crée automatiquement les fichiers IOC et permet de charger les fichiers IOC préparés par l'utilisateur. Si vous souhaitez ajouter un indicateur de compromission manuellement, veuillez lire les exigences relatives aux fichiers IOC.
Le fichier que vous pouvez télécharger via le lien ci-dessous contient une table reprenant la liste complète des termes IOC de la norme OpenIOC pris en charge par la solution Kaspersky Endpoint Detection and Response.
TÉLÉCHARGER LE FICHIER IOC_TERMS.XLSX
Modes d'exécution des tâches d'analyse IOC
Kaspersky Endpoint Security permet d'exécuter l'analyse IOC dans les modes suivants :
Exécution de la tâche d'analyse IOC
Kaspersky Sandbox peut créer des tâches Analyse IOC automatiquement lorsqu'il réagit aux menaces. Dans Kaspersky Endpoint Detection and Response Optimum, vous pouvez uniquement créer des tâches Analyse IOC manuellement.
Vous pouvez créer des tâches Analyse IOC manuellement :
Les Détails de l'alerte sont un outil permettant de visualiser l'ensemble des informations collectées sur une menace détectée et de gérer les actions de réponse. Les détails de l'alerte reprennent par exemple l'histoire des fichiers qui apparaissent sur l'ordinateur. Pour en savoir plus sur la gestion des détails de la détection, consultez l'aide de Kaspersky Endpoint Detection and Response Optimum.
Vous pouvez configurer les paramètres uniquement dans Web Console.
Pour créer des tâches autonomes d'analyse IOC pour la réponse aux menaces, Kaspersky Security Center version 13.2 est nécessaire.
Pour créer une tâche d'analyse IOC, procédez comme suit :
La liste des tâches s'ouvre.
L'Assistant de création de tâche démarre.
Par défaut, Kaspersky Endpoint Security lance la tâche en tant que compte utilisateur du système (SYSTEM).
Le compte système (SYSTEM) n'a pas l'autorisation d'exécuter la tâche Analyse IOC sur les disques réseau. Si vous voulez exécuter la tâche pour un disque réseau, sélectionnez le compte d'un utilisateur qui a accès à ce disque.
Pour les tâches autonomes d'analyse IOC sur des disques réseau, dans les propriétés de la tâche, vous devez sélectionner manuellement dans les propriétés le compte utilisateur qui a accès à ce lecteur.
La nouvelle tâche apparaît dans la liste des tâches.
La fenêtre des propriétés de la tâche s'ouvre.
Après avoir chargé les fichiers IOC, vous pouvez visualiser la liste des indicateurs des fichiers IOC. Si nécessaire, vous pouvez exclure temporairement les fichiers IOC du champ d'application de la tâche.
Il n'est pas recommandé d'ajouter ou de supprimer des fichiers IOC après l'exécution de la tâche. Cela peut entraîner un affichage incorrect des résultats de l'analyse IOC pour les exécutions précédentes de la tâche. Pour rechercher des indicateurs de compromission par nouveaux fichiers IOC, il est recommandé d'ajouter de nouvelles tâches.
Kaspersky Endpoint Security sélectionne automatiquement les types de données (documents IOC) pour la tâche Analyse IOC conformément au contenu des fichiers IOC chargés. Il est déconseillé de désélectionner les types de données.
Vous pouvez également configurer les zone d'analyse pour les types de données suivants :
Par défaut, Kaspersky Endpoint Security recherche les IOC uniquement dans les zones importantes de l'ordinateur comme le dossier Téléchargements, le bureau, le dossier des fichiers temporaires du système d'exploitation, etc. Vous pouvez également ajouter manuellement la zone d'analyse.
Pour le type de données Registre Windows - RegistryItem Kaspersky Endpoint Security analyse un ensemble de clés de registre.
Ainsi, Kaspersky Endpoint Security lance la recherche d'indicateurs de compromission sur l'ordinateur. Vous pouvez consulter les résultats de la tâche dans les propriétés de la tâche dans la section Résultats. Vous pouvez consulter les informations relatives aux indicateurs de compromission détectés dans les propriétés de la tâche : Paramètres des applications → Résultats de l'analyse IOC.
Les résultats de l'analyse IOC sont conservés pendant 30 jours. А̀ l'issue de cette période, Kaspersky Endpoint Security supprime automatiquement les enregistrements les plus anciens.
Haut de page