セキュリティ侵害インジケーター（IOC）のスキャン

セキュリティ侵害インジケーター（IOC）とは、コンピューターへの認証されないアクセス（コンピューターの侵害）の痕跡を示すオブジェクトまたは活動に関する一連のデータです。たとえば、システムへのログインを複数回失敗すると、セキュリティ侵害インジケーターの構成要素となります。IOC スキャンタスクは、コンピューターのセキュリティ侵害インジケーターを検索し、脅威への対応方法を確立するのに役立ちます。

Kaspersky Endpoint Security は IOC ファイルを使用して侵害インジケーターを検索します。IOC ファイルとは、本製品が検知の判断時に一致させる一連のインジケーターを含むファイルです。IOC ファイルは OpenIOC 標準に準拠している必要があります。Kaspersky Endpoint Security は IOC ファイルを自動で作成し、また、ユーザーが作成した IOC ファイルを読み込むこともできます。手動で侵害インジケーターを追加する場合は、IOC ファイルの要件を参照してください。

以下のリンクをクリックすることでダウンロードできるファイルには、Kaspersky Endpoint Detection and Response がサポートするすべての OpenIOC 標準の IOC タームの一覧が含まれています。

こちらのリンクから IOC_TERMS.XLSX ファイルをダウンロードできます

IOC スキャンタスクの実行モード

Kaspersky Endpoint Security では、次のモードでIOC スキャンが実行されます：

標準の IOC スキャンタスクは Web コンソールで手動で作成および設定されたタスクまたはタスクのグループを意味します。タスクは、ユーザーが準備した IOC ファイルを使用して実行されます。
スタンドアロンの IOC スキャンタスクは、Kaspersky Sandboxで検知された脅威に到達した際に自動的に作成されるタスクのグループです。Kaspersky Endpoint Security は IOC ファイルを自動で作成します。カスタム IOC ファイルはサポートされていません。タスクは、そのタスクが最後に開始されてから（実行されていない場合は作成日から）7 日が経過すると自動的に削除されます。スタンドアロンの IOC スキャンタスクについて詳しくは、Kaspersky Sandbox のヘルプを参照してください。

IOC スキャンタスクの実行

脅威への対応時に、Kaspersky Sandbox がIOC スキャンタスクを自動で作成することがあります。Kaspersky Endpoint Detection and Response Optimum では、手動でIOC スキャンタスクの作成のみできます。

IOC スキャンタスクを次の方法で手動で作成することができます：

アラートの詳細で作成する。
アラートの詳細（Alert details）は、収集済みの検知した脅威および応答操作の管理に関する情報を全体的に表示するツールです。アラートの詳細には、コンピューター上に表示されるファイルの履歴が含まれます。アラートの詳細の管理について詳しくは、Kaspersky Endpoint Detection and Response Optimum のヘルプを参照してください。
タスクウィザードを使用する。

Web コンソールでのみ設定できます。

脅威に対するスタンドアロンの IOC スキャンタスクを作成するには、Kaspersky Security Center バージョン 13.2 が必要です。

IOC スキャンタスクを作成するには：

Web コンソールのメインウィンドウで、［デバイス］→［タスク］の順に選択します。
タスクのリストが表示されます。
［追加］をクリックします。
タスクウィザードが起動します。
タスクの設定を指定します：
1. アプリケーションドロップダウンリストで、Kaspersky Endpoint Security for Windows (11.7.0)を選択します。
2. ［タスク種別］で、［IOC スキャン］を選択します。
3. ［タスク名］に簡潔な内容を入力します。
4. ［タスクを割り当てるデバイスの選択］で、タスク範囲の指定方法を選択します。
タスク範囲の指定方法に応じて、対象デバイスを選択します。［次へ］をクリックします。
タスクの実行に使用するユーザーアカウントの認証情報を入力します。［次へ］をクリックします。
既定では、Kaspersky Endpoint Security はタスクをシステムユーザーアカウント（SYSTEM）として開始します。

システムアカウント（SYSTEM）にはネットワークドライブの IOC スキャンタスクを実行する権限がありません。ネットワークドライブに対してタスクを実行する場合に、そのドライブにアクセス権のあるユーザーアカウントを選択してください。

ネットワークドライブのスタンドアロンの IOC スキャンタスクには、タスクのプロパティで、そのドライブにアクセス権のあるユーザーアカウントを手動で選択する必要があります。
［終了］をクリックして、ウィザードを終了します。
タスクのリストに新しいタスクが表示されます。
新しいタスクをクリックします。
タスクのプロパティウィンドウが表示されます。
［アプリケーション設定］タブを選択します。
［IOC スキャン設定］を選択します。
侵害インジケーターを検索するために IOC ファイルを読み込みます。
IOC ファイルの読み込み後、IOC ファイルのインジケーターのリストが表示できます。必要に応じて、タスク範囲から一時的に IOC ファイルを除外することができます。
タスク実行後の IOC ファイルの追加または削除は推奨されません。前回実行された IOC スキャン結果が正しく表示されないことがあります。IOC ファイルの侵害インジケーターを検索するには、新しいタスクを追加するようにしてください。
IOC 検知時の動作の設定：
- コンピューターをネットワークから分離する：このオプションを選択した場合、Kaspersky Endpoint Security は脅威の拡散を防ぐためにコンピューターをネットワークから分離します。分離時間はEndpoint Detection and Response コンポーネントの設定で設定できます。
- コピーを隔離に移動し、オブジェクトを削除する：このオプションを選択した場合、Kaspersky Endpoint Security はコンピューターで検知された悪意のあるオブジェクトを削除します。オブジェクトを削除する前に、後で復元する必要があった場合に備えて Kaspersky Endpoint Security はオブジェクトのバックアップコピーを作成します。バックアップコピーは隔離に移動されます。
- 簡易スキャンを実行する：このオプションを選択した場合、Kaspersky Endpoint Security は簡易スキャンタスクを実行します。既定では、カーネルメモリ、実行中のプロセスおよびスタートアップオブジェクト、ディスクブートセクターをスキャンします。
［詳細］に移動します
タスクの一部として分析される必要のあるデータ種別（IOC ドキュメント）を選択します。
Kaspersky Endpoint Security は、読み込まれた IOC ファイルの内容に従って IOC スキャンタスク用のデータ種別（IOC ドキュメント）を自動で選択します。選択されたデータ種別の選択解除は推奨されません。

次のデータ種別に対してスキャン範囲を追加で設定できます：
- ファイル - FileItem：事前定義された範囲を使用してコンピューター上の IOC スキャン範囲を設定します。
  既定では、Kaspersky Endpoint Security はコンピューターの重要な領域（ダウンロードフォルダー、デスクトップ、一時的なオペレーティングシステムのファイルがあるフォルダーなど）のみの IOC をスキャンします。スキャン範囲を手動で追加することもできます。
- Windows イベントログ - EventLogItem：イベントが記録された際の時間周期を入力します。IOC スキャンにアプリケーションイベントログ、システムイベントログ、セキュリティイベントログなど、Windows イベントログを選択することもできます。
Kaspersky Endpoint Security はデータ種別［Windows レジストリ - RegistryItem］に対しては、レジストリキー一式をスキャンします。
［保存］をクリックします。
タスクの横にあるチェックボックスをオンにします。
［開始］をクリックします。

Kaspersky Endpoint Security はコンピューター上にある侵害インジケーターの検索を実行します。［結果］のタスクのプロパティでタスクの結果を確認できます。［アプリケーション設定］ → ［IOC スキャン結果］の順に選択して、タスクのプロパティで侵害インジケーターに関する情報を表示することができます。

IOC スキャン結果は 30 日間保持されます。この期間を経過すると、Kaspersky Endpoint Security は最も古いデータを自動的に削除します。

ページのトップに戻る