Поиск индикаторов компрометации (IOC)

Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.

Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми программа считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC. Kaspersky Endpoint Security создает IOC-файлы автоматически, а также позволяет загружать IOC-файлы, подготовленные пользователем. Если вы хотите добавить индикатор компрометации вручную, ознакомьтесь с требованиями к IOC-файлам.

В файле, который можно загрузить по ссылке ниже, приведена таблица с полным списком IOC-терминов стандарта OpenIOC, поддерживаемых решением Kaspersky Endpoint Detection and Response.

ЗАГРУЗИТЬ ФАЙЛ IOC_TERMS.XLSX

Режимы запуска задачи Поиск IOC

Kaspersky Endpoint Security позволяет запускать задачи Поиск IOC в следующих режимах:

• Стандартная задача поиска IOC – групповая или локальная задача, которые создаются и настраиваются вручную в Web Console. Для запуска задач используются IOC-файлы, подготовленные пользователем.
• Автономная задача поиска IOC – групповая задача, которая создается автоматически при реагировании на угрозу, обнаруженную Kaspersky Sandbox. Kaspersky Endpoint Security автоматически формирует IOC-файл. Работа с пользовательскими IOC-файлами не предусмотрена. Задачи автоматически удаляются через семь дней после последнего запуска или с момента создания, если задачи не запускались. Подробнее об автономных задачах поиска IOC см. в справке Kaspersky Sandbox.

Запуск задачи Поиск IOC

При реагировании на угрозы Kaspersky Sandbox может автоматически создавать задачи Поиск IOC. В Kaspersky Endpoint Detection and Response Optimum вы можете создавать задачи Поиск IOC только вручную.

Вы можете создавать задачи Поиск IOC вручную следующими способами:

• В деталях обнаружения.

  Детали обнаружения – инструмент для просмотра всей собранной информации об обнаруженной угрозе и управления действиями по реагированию. Детали обнаружения содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями обнаружения см. справке Kaspersky Endpoint Detection and Response Optimum.

• С помощью мастера создания задач.

Вы можете настроить параметры задачи только в Web Console.

Для создания автономных задач поиска IOC при реагировании на угрозы требуется Kaspersky Security Center версии 13.2.

Чтобы создать задачу Поиск IOC, выполните следующие действия:

1. В главном окне Web Console выберите Устройства → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Программа выберите Kaspersky Endpoint Security для Windows (11.7.0).
   2. В раскрывающемся списке Тип задачи выберите Поиск IOC.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Выбор устройств, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Нажмите на кнопку Далее.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Нажмите на кнопку Далее.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

   У системной учетной записи (SYSTEM) отсутствуют права на выполнение задачи Поиск IOC на сетевых дисках. Если вы хотите выполнить задачу на сетевом диске, выберите учетную запись пользователя, у которого есть доступ к этому диску.

   Для работы автономных задач поиска IOC на сетевых дисках вам нужно вручную выбрать учетную запись пользователя, у которого есть доступ к этом диску, в свойствах задачи.

6. Завершите работу мастера по кнопке Готово.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры программы.
9. Перейдите в раздел Настройки поиска IOC.
10. Загрузите IOC-файлы для поиска индикаторов компрометации.

    После загрузки IOC-файлов вы можете просмотреть список индикаторов из IOC-файлов. Если требуется, вы можете временно выключить IOC-файлы из области действия задачи.

    Не рекомендуется добавлять или удалять IOC-файлы после запуска задачи. Это может привести к некорректному отображению результатов поиска IOC для предыдущих запусков задачи. Для поиска индикаторов компрометации по новым IOC-файлам рекомендуется добавлять новые задачи.

11. Настройте действия при обнаружении индикатора компрометации:
    • Изолировать компьютер от сети. Если выбран этот вариант действия, то Kaspersky Endpoint Security изолирует компьютер от сети для предотвращения распространения угрозы. Вы можете настроить время изоляции в параметрах компонента Endpoint Detection and Response.
    • Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.
    • Запускать проверку важных областей. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
12. Перейдите в раздел Дополнительно.
13. Выберите типы данных (IOC-документы), которые необходимо анализировать во время выполнения задачи.

    Kaspersky Endpoint Security автоматически выбирает типы данных (IOC-документы) для задачи Поиск IOC в соответствии с содержанием загруженных IOC-файлов. Не рекомендуется самостоятельно отменять выбор типов данных.

    Дополнительно вы можете настроить области поиска для следующих типов данных:

    • Файлы - FileItem. Задайте область поиска IOC на компьютере с помощью предустановленных областей.

      По умолчанию Kaspersky Endpoint Security выполняет поиск IOC только в важных областях компьютера, таких как папки Загрузки, Рабочий стол, папка с временными файлами операционной системы и другие. Также вы можете добавить области поиска вручную.

    • Журналы событий Windows - EventLogItem. Задайте период времени, в течение которого зафиксированы события. Также вы можете выбрать журналы событий Windows для поиска IOC: журнал событий приложений, журнал системных событий или журнал событий безопасности.

    Для типа данных Реестр Windows - RegistryItem Kaspersky Endpoint Security анализирует определенный набор разделов реестра.

14. Нажмите на кнопку Сохранить.
15. Установите флажок напротив задачи.
16. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security запустит поиск индикаторов компрометации на компьютере. Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты. Информацию об обнаруженных индикаторах компрометации вы можете посмотреть в свойствах задачи Параметры программы → Результаты поиска IOC.

Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.

В начало