Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.
Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми программа считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC. Kaspersky Endpoint Security создает IOC-файлы автоматически, а также позволяет загружать IOC-файлы, подготовленные пользователем. Если вы хотите добавить индикатор компрометации вручную, ознакомьтесь с требованиями к IOC-файлам.
В файле, который можно загрузить по ссылке ниже, приведена таблица с полным списком IOC-терминов стандарта OpenIOC, поддерживаемых решением Kaspersky Endpoint Detection and Response.
Режимы запуска задачи Поиск IOC
Kaspersky Endpoint Security позволяет запускать задачи Поиск IOC в следующих режимах:
Запуск задачи Поиск IOC
При реагировании на угрозы Kaspersky Sandbox может автоматически создавать задачи Поиск IOC. В Kaspersky Endpoint Detection and Response Optimum вы можете создавать задачи Поиск IOC только вручную.
Вы можете создавать задачи Поиск IOC вручную следующими способами:
Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе и управления действиями по реагированию. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. справке Kaspersky Endpoint Detection and Response Optimum.
Вы можете настроить параметры задачи только в Web Console.
Для создания автономных задач поиска IOC при реагировании на угрозы требуется Kaspersky Security Center версии 13.2.
Чтобы создать задачу Поиск IOC, выполните следующие действия:
Откроется список задач.
Запустится мастер создания задачи.
По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).
У системной учетной записи (SYSTEM) отсутствуют права на выполнение задачи Поиск IOC на сетевых дисках. Если вы хотите выполнить задачу на сетевом диске, выберите учетную запись пользователя, у которого есть доступ к этому диску.
Для работы автономных задач поиска IOC на сетевых дисках вам нужно вручную выбрать учетную запись пользователя, у которого есть доступ к этом диску, в свойствах задачи.
В списке задач отобразится новая задача.
Откроется окно свойств задачи.
После загрузки IOC-файлов вы можете просмотреть список индикаторов из IOC-файлов. Если требуется, вы можете временно выключить IOC-файлы из области действия задачи.
Не рекомендуется добавлять или удалять IOC-файлы после запуска задачи. Это может привести к некорректному отображению результатов поиска IOC для предыдущих запусков задачи. Для поиска индикаторов компрометации по новым IOC-файлам рекомендуется добавлять новые задачи.
Kaspersky Endpoint Security автоматически выбирает типы данных (IOC-документы) для задачи Поиск IOC в соответствии с содержанием загруженных IOC-файлов. Не рекомендуется самостоятельно отменять выбор типов данных.
Дополнительно вы можете настроить области поиска для следующих типов данных:
По умолчанию Kaspersky Endpoint Security выполняет поиск IOC только в важных областях компьютера, таких как папки Загрузки, Рабочий стол, папка с временными файлами операционной системы и другие. Также вы можете добавить области поиска вручную.
Для типа данных Реестр Windows - RegistryItem Kaspersky Endpoint Security анализирует определенный набор разделов реестра.
В результате Kaspersky Endpoint Security запустит поиск индикаторов компрометации на компьютере. Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты. Информацию об обнаруженных индикаторах компрометации вы можете посмотреть в свойствах задачи Параметры программы → Результаты поиска IOC.
Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.
В начало