Scansione degli indicatori di compromissione (IOC)

Un indicatore di compromissione (IOC) è una serie di dati su un oggetto o un'attività che indica un accesso non autorizzato al computer (compromissione dei dati). Ad esempio, molti tentativi non riusciti di accesso al sistema possono costituire un indicatore di compromissione. Le attività di scansione IOC consentono di trovare indicatori di compromissione sul computer e di adottare misure di risposta alle minacce.

Kaspersky Endpoint Security ricerca gli indicatori di compromissione utilizzando i file IOC. I file IOC sono file che contengono le serie di indicatori che l'applicazione tenta di abbinare per eseguire un rilevamento. I file IOC devono essere conformi allo standard OpenIOC. Kaspersky Endpoint Security crea automaticamente i file IOC e consente di caricare i file IOC preparati dall'utente. Se si desidera aggiungere un indicatore di compromissione manualmente, leggere i requisiti dei file IOC.

Il file che è possibile scaricare facendo clic sul collegamento sottostante contiene una tabella con l'elenco completo dei termini IOC dello standard OpenIOC supportati dalla soluzione Kaspersky Endpoint Detection and Response.

DOWNLOAD DEL FILE IOC_TERMS.XLSX

Modalità di esecuzione dell'attività di scansione IOC

Kaspersky Endpoint Security consente di eseguire la scansione IOC nelle seguenti modalità:

• Attività di scansione IOC standard è un'attività locale o di gruppo creata e configurata manualmente in Web Console. Le attività vengono eseguite utilizzando i file IOC preparati dall'utente.
• Attività di scansione IOC autonoma è un'attività di gruppo che viene creata automaticamente quando si reagisce a una minaccia rilevata da Kaspersky Sandbox. Kaspersky Endpoint Security genera automaticamente il file IOC. I file IOC personalizzati non sono supportati. Le attività vengono eliminate automaticamente sette giorni dopo l'ultima ora di inizio o l'ora di creazione se l'attività non è mai stata eseguita. Per altri dettagli sulle attività di scansione IOC standalone, consultare la Guida di Kaspersky Sandbox.

Esecuzione dell'attività di scansione IOC

Kaspersky Sandbox può creare automaticamente attività Scansione IOC quando reagisce alle minacce. In Kaspersky Endpoint Detection and Response Optimum, le attività Scansione IOC possono essere create solo manualmente.

È possibile creare attività Scansione IOC manualmente:

• In Dettagli dell'avviso.

  Dettagli dell'avviso è uno strumento che consente di visualizzare la totalità delle informazioni raccolte su una minaccia rilevata e gestire le azioni di risposta. Dettagli dell'avviso include, ad esempio, la cronologia dei file visualizzati nel computer. Per ulteriori informazioni sulla gestione di dettagli dell'avviso, consultare la Guida di Kaspersky Endpoint Detection and Response Optimum.

• Utilizzo della Creazione guidata attività.

È possibile configurare le impostazioni solo in Web Console.

Per creare le attività Scansione IOC standalone per la risposta alle minacce, è necessario Kaspersky Security Center versione 13.2.

Per creare un'attività di scansione IOC:

1. Nella finestra principale di Web Console selezionare Dispositivi → Attività.

   Viene aperto l'elenco delle attività.

2. Fare clic sul pulsante Aggiungi.

   Verrà avviata la Creazione guidata attività.

3. Configurare le impostazioni dell'attività:
   1. Nell'elenco a discesa Applicazione, selezionare Kaspersky Endpoint Security for Windows (11.7.0).
   2. Nell'elenco a discesa Tipo di attività, selezionare Scansione IOC.
   3. Nel campo Nome attività, immettere una breve descrizione.
   4. Nella sezione Selezionare i dispositivi a cui assegnare l'attività selezionare l'ambito dell'attività.
4. Selezionare i dispositivi in base all'opzione dell'ambito dell'attività selezionata. Fare clic sul pulsante Avanti.
5. Immettere le credenziali dell'account dell'utente di cui si desidera utilizzare i diritti per eseguire l'attività. Fare clic sul pulsante Avanti.

   Per impostazione predefinita, Kaspersky Endpoint Security avvia l'attività come account utente di sistema (SYSTEM).

   L'account di sistema (SYSTEM) non dispone dell'autorizzazione necessaria per eseguire l'attività Scansione IOC nelle unità di rete. Se si desidera eseguire l'attività per un'unità di rete, selezionare l'account di un utente che ha accesso a tale unità.

   Per le attività Scansione IOC standalone nelle unità di rete, nelle proprietà dell'attività è necessario selezionare manualmente l'accesso utente che ha accesso a tale unità.

6. Terminare la procedura guidata facendo clic sul pulsante Fine.

   Verrà visualizzata una nuova attività nell'elenco delle attività.

7. Fare clic sulla nuova attività.

   Verrà visualizzata la finestra delle proprietà dell'attività.

8. Selezionare la scheda Impostazioni applicazione.
9. Passare alla sezione Impostazioni scansione IOC.
10. Caricare i file IOC per cercare gli indicatori di compromissione.

    Dopo aver caricato i file IOC, è possibile visualizzare l'elenco degli indicatori dai file IOC. Se necessario, è possibile escludere temporaneamente i file IOC dall'ambito dell'attività.

    Si sconsiglia di aggiungere o rimuovere file IOC dopo l'esecuzione dell'attività, poiché può causare la visualizzazione errata dei risultati della scansione IOC per le esecuzioni dell'attività precedenti. Per cercare indicatori di compromissione da parte di nuovi file IOC, si consiglia di aggiungere nuove attività.

11. Configurare le azioni se viene rilevato un indicatore di compromissione:
    • Isola il computer dalla rete. Se questa opzione è selezionata, Kaspersky Endpoint Security isola il computer dalla rete per impedire la diffusione della minaccia. È possibile configurare la durata dell'isolamento nelle impostazioni del componente Endpoint Detection and Response.
    • Sposta la copia in Quarantena, elimina l'oggetto. Se questa opzione è selezionata, Kaspersky Endpoint Security elimina l'oggetto dannoso trovato nel computer. Prima di eliminare l'oggetto, Kaspersky Endpoint Security crea una copia di backup nel caso in cui sia necessario ripristinare l'oggetto in un secondo momento. Kaspersky Endpoint Security sposta la copia di backup in Quarantena.
    • Esegui scansione delle aree critiche. Se questa opzione è selezionata, Kaspersky Endpoint Security esegue l'attività Scansione delle aree critiche. Per impostazione predefinita, Kaspersky Endpoint Security esamina la memoria del kernel, i processi in esecuzione e i settori di avvio del disco.
12. Accedere alla sezione Avanzate.
13. Selezionare i tipi di dati (documenti IOC) che devono essere analizzati come parte dell'attività.

    Kaspersky Endpoint Security seleziona automaticamente i tipi di dati (documenti IOC) per l'attività Scansione IOC in conformità con i contenuti dei file IOC caricati. Si sconsiglia di deselezionare i tipo di dati.

    È inoltre possibile configurare gli ambiti della scansione per i seguenti tipi di dati:

    • Files - FileItem. Consente di impostare un ambito della scansione IOC nel computer in cui vengono utilizzati gli ambiti preimpostati.

      Per impostazione predefinita, Kaspersky Endpoint Security esamina gli IOC solo nelle aree importanti del computer, ad esempio la cartella Download, il desktop, la cartella con i file temporanei del sistema operativo ecc. È inoltre possibile aggiungere manualmente l'ambito della scansione.

    • Registro eventi di Windows - EventLogItem. Immettere il periodo di tempo in cui gli eventi sono stati registrati. È inoltre possibile selezionare i registri eventi di Windows per la scansione IOC: il registro eventi delle applicazioni, il registro eventi del sistema e il registro eventi della sicurezza.

    Per il tipi di dati Registro di sistema di Windows - RegistryItem, Kaspersky Endpoint Security esamina una serie di chiavi del Registro di sistema.

14. Fare clic sul pulsante Salva.
15. Selezionare la casella di controllo accanto all'attività.
16. Fare clic sul pulsante Esegui.

A questo punto, Kaspersky Endpoint Security esegue la ricerca degli indicatori di compromissione sul computer. È possibile visualizzare i risultati dell'attività nelle proprietà dell'attività nelle sezione Risultati. È possibile visualizzare le informazioni sugli indicatori di compromissione rilevati nelle proprietà dell'attività: Impostazioni applicazione → Risultati scansione IOC.

I risultati della scansione IOC vengono conservati per 30 giorni. Al termine di questo periodo, Kaspersky Endpoint Security elimina automaticamente le voci meno recenti.

Inizio pagina