Verifica os indicadores de comprometimento (IOC)

Um Indicador de compromisso (IOC) é um conjunto de dados sobre um objeto ou atividade que indica acesso não autorizado ao computador (comprometimento de dados). Por exemplo, muitas tentativas malsucedidas de entrar no sistema podem constituir um indicador de compromisso. As tarefas de verificação de IOC permitem localizar indicadores de comprometimento no computador e tomar as medidas de resposta a ameaças.

O Kaspersky Endpoint Security procura indicadores de comprometimento usando arquivos IOC Arquivos IOC são arquivos que contêm os conjuntos de indicadores que o aplicativo tenta combinar para contar uma detecção. Os arquivos IOC devem estar em conformidade com o padrão OpenIOC. O Kaspersky Endpoint Security cria arquivos IOC automaticamente e permite carregar arquivos IOC preparados pelo usuário. Caso queira adicionar um indicador de comprometimento manualmente, leia os requisitos para arquivos IOC.

O arquivo a ser baixado clicando no link abaixo contém uma tabela com a lista completa dos termos de IOC do padrão OpenIOC que são compatíveis com a solução Kaspersky Endpoint Detection and Response.

DOWNLOAD DO ARQUIVO IOC TERMS.XLSX

Modos de execução de tarefas de verificação de IOC

O Kaspersky Endpoint Security permite executar a verificação de IOC nos seguintes modos:

• Tarefa de verificação de IOC padrão é um grupo ou tarefa local criado e configurado manualmente no Web Console. As tarefas são executadas usando arquivos IOC preparados pelo usuário.
• Tarefa de verificação de IOC autônoma é uma tarefa de grupo criada automaticamente ao reagir a uma ameaça detectada pelo Kaspersky Sandbox. O Kaspersky Endpoint Security gera automaticamente o arquivo IOC. Arquivos IOC personalizados não são compatíveis. As tarefas são excluídas automaticamente sete dias após a última hora de início ou hora de criação caso a tarefa nunca tenha sido executada. Para obter mais detalhes sobre as tarefas de verificação de IOC autônomas, consulte a Ajuda do Kaspersky Sandbox.

Executando a tarefa de verificação de IOC

O Kaspersky Sandbox pode criar tarefas de verificação de IOC automaticamente no momento da reação contra ameaças. No Kaspersky Endpoint Detection and Response Optimum, é possível criar as tarefas de verificação de IOC manualmente apenas.

É possível criar tarefas de Verificação de IOC manualmente:

• Em detalhes de alertas.

  Destalhes de alertas é uma ferramenta para visualizar todas as informações coletadas sobre uma ameaça detectada e gerenciar as ações de resposta. Os detalhes da alertas incluem, por exemplo, o histórico de arquivos aparentes no computador. Para obter detalhes sobre o gerenciamento dos detalhes de alertas, consulte a ajuda do Kaspersky Endpoint Detection and Response Optimum.

• Uso do assistente de tarefa.

As configurações só podem ser definidas no Web Console.

Para criar tarefas de Verificação de IOC autônomas para resposta a ameaças, é necessário ter o Kaspersky Security Center versão 13.2.

Para criar uma tarefa de verificação de IOC:

1. Na janela principal do Web Console, selecione Dispositivos → Tarefas.

   A lista de tarefas é aberta.

2. Clique no botão Adicionar.

   O Assistente de Tarefas é iniciado.

3. Defina as configurações da tarefa:
   1. Na lista suspensa Aplicativo, selecione Kaspersky Endpoint Security for Windows (11.7.0).
   2. Na lista suspensa Tipo de tarefa, selecione Verificação de IOC.
   3. No campo Nome da tarefa, insira uma breve descrição.
   4. Na seção Selecionar os dispositivos aos quais a tarefa será atribuída, selecione o escopo da tarefa.
4. Selecione os dispositivos de acordo com a opção de escopo da tarefa selecionada. Clique no botão Avançar.
5. Insira as credenciais da conta do usuário cujos direitos deseja usar para executar a tarefa. Clique no botão Avançar.

   Por padrão, o Kaspersky Endpoint Security inicia a tarefa como a conta de usuário do sistema (SISTEMA).

   A conta do sistema (SYSTEM) não tem permissão para executar a tarefa Verificação de IOC nas unidades de rede. Caso queira executar a tarefa para uma unidade de rede, selecione a conta de um usuário que tem acesso a essa unidade.

   Para tarefas de Verificação de IOC autônomas em unidades de rede, é necessário selecionar manualmente a conta de usuário com acesso a esta unidade nas propriedades da tarefa.

6. Finalize o assistente, clicando no botão Concluir.

   Uma nova tarefa será exibida na lista de tarefas.

7. Clique no botão Nova Tarefa.

   A janela de propriedades da tarefa é exibida.

8. Selecione a guia Configurações do aplicativo.
9. Acesse a seção Configurações da verificação de IOC.
10. Carregue os arquivos IOC para pesquisar os indicadores de comprometimento.

    Depois de carregar os arquivos IOC, é possível visualizar a lista de indicadores dos arquivos IOC. Caso necessário, é possível excluir temporariamente os arquivos IOC do escopo da tarefa.

    Adicionar ou remover arquivos IOC após a execução da tarefa não é recomendado. Isso pode fazer com que os resultados da verificação de IOC sejam exibidos incorretamente para execuções anteriores da tarefa. Para pesquisar os indicadores de comprometimento por novos arquivos IOC, é recomendável adicionar novas tarefas.

11. Configure ações ao detectar IOC:
    • Isolar o computador da rede. Caso a opção seja selecionada, o Kaspersky Endpoint Security isola o computador da rede para evitar que a ameaça se espalhe. É possível configurar a duração do isolamento no componente de configurações do Endpoint Detection and Response.
    • Mover cópia para a quarentena, excluir objeto. Caso a opção seja selecionada, o Kaspersky Endpoint Security exclui o objeto malicioso encontrado no computador. Antes de excluir o objeto, o Kaspersky Endpoint Security cria uma cópia de backup, caso o objeto precise ser restaurado posteriormente. O Kaspersky Endpoint Security move a cópia de backup para a quarentena.
    • Executar a verificação de áreas críticas. Caso a opção seja selecionada, o Kaspersky Endpoint Security executa a tarefa Verificação de áreas críticas. Por padrão, o Kaspersky Endpoint Security verifica a memória kernel, os processos de execução e os setores de inicialização de disco.
12. Vá para a seção Avançado.
13. Selecione os tipos de dados (documentos IOC) que devem ser analisados como parte da tarefa.

    O Kaspersky Endpoint Security seleciona automaticamente os tipos de dados para a tarefa de verificação de IOC de acordo com o conteúdo dos arquivos IOC carregados. Não é recomendado remover a seleção dos tipos de dados.

    Ainda é possível configurar escopos da verificação para os seguintes tipos de dados:

    • Arquivos – FileItem. Defina o escopo da verificação de IOC no computador utilizando escopos predefinidos.

      Por padrão, o Kaspersky Endpoint Security verifica IOCs somente em áreas importantes do computador, como a pasta Downloads, a área de trabalho, a pasta com arquivos temporários do sistema operacional etc. Também é possível adicionar o escopo da verificação manualmente.

    • Log de eventos do Windows - EventLogItem. Insira o período de tempo referente a quando os eventos foram registrados. Também é possível selecionar os logs de evento para as verificações de IOC: o registro de evento o aplicativo, o registro de evento do sistema e o registro do evento de segurança.

    Para os tipos de dados Registro do Windows - RegistryItem o Kaspersky Endpoint Security verifica um conjunto de chaves do registro.

14. Clique no botão Salvar.
15. Marque a caixa de seleção ao lado da tarefa.
16. Clique no botão Executar.

Como resultado, o Kaspersky Endpoint Security executa a pesquisa de indicadores de comprometimento do computador. É possível visualizar os resultados da tarefa, nas propriedades da tarefa, na seção Resultados. É possível visualizar as informações sobre os indicadores de compromisso detectados nas propriedades da tarefa: Configurações do aplicativo → Resultados da verificação de IOC.

Os resultados da verificação de IOC são mantidos por 30 dias. Após esse período, o Kaspersky Endpoint Security exclui as entradas mais antigas automaticamente.

Início da página