掃描查找洩露指示器 (IOC)

洩露指示器 (IOC)是一個物件或者活動的資料集合，表明對電腦的未經授權存取（資料洩露）。例如，許多登入系統的不成功嘗試可以構成一個洩露指示器。“IOC 掃描”工作可發現電腦上的洩露指示器並採取威脅回應措施。

Kaspersky Endpoint Security 可使用 IOC 檔案搜尋洩露指示器。IOC 檔案是包含應用程式試圖匹配以計數偵測的指示器集合的檔案。IOC 檔案必須符合 OpenIOC 標準。Kaspersky Endpoint Security 會自動建立 IOC 檔案並允許加載使用者準備的 IOC 檔案。如果您想要手動新增洩露指示器，請閱讀IOC 檔案要求。

您可以點擊下面的連接下載該檔案，它包含一個表格，其中有受 Kaspersky Endpoint Detection and Response 解決方案支援的 OpenIOC 標準的 IOC 字詞完整清單。

下載 IOC_TERMS.XLSX 檔案

IOC 掃描工作執行模式

Kaspersky Endpoint Security 允許在以下模式中執行“IOC 掃描”：

• “標準 IOC 掃描工作”是一個在網頁主控台中手動建立和配置的群組或本機工作。工作使用使用者準備的 IOC 檔案執行。
• ”獨立 IOC 掃描工作“是一個當回應 Kaspersky Sandbox偵測到的威脅時自動建立的群組工作。Kaspersky Endpoint Security 會自動產生 IOC 檔案。自訂 IOC 檔案不受支援。如果工作從未執行，則工作會在上次開始時間或者建立時間七天後被自動刪除。有關獨立 IOC 掃描工作的更多詳情，請參見 Kaspersky Sandbox 說明。

執行 IOC 掃描工作

Kaspersky Sandbox 可以在回應威脅時自動建立“IOC 掃描”工作。在 Kaspersky Endpoint Detection and Response Optimum 中，您只可以手動建立“IOC 掃描”工作。

您可以手動建立“IOC 掃描”工作：

• 在偵測詳情中。

  偵測詳情是一款用來檢視有關被偵測的威脅的整個收集資訊和管理回應操作的工具。偵測詳情包括，例如，出現在電腦上的檔案的歷史。有關偵測詳情的詳細資訊，請參閱Kaspersky Endpoint Detection and Response Optimum 說明。

• 使用工作精靈。

您只可以在網頁主控台中配置設定。

為威脅回應建立獨立 IOC 掃描工作需要卡巴斯基安全管理中心 13.2 版本。

要建立 IOC 掃描工作：

1. 在網頁主控台的主視窗中，選取“裝置”→“工作”。

   工作清單開啟。

2. 點擊“新增”按鈕。

   啟動“工作精靈”。

3. 配置工作設定：
   1. 在“應用程式”下拉清單中，選取“Kaspersky Endpoint Security for Windows (11.7.0)”。
   2. 在“工作類型”下拉式清單中，選取“IOC 掃描”。
   3. 在“工作名稱”欄位中，輸入簡要說明。
   4. 在“選取要對其分配工作的裝置”區域中，選取工作範圍。
4. 按照所選工作範圍選項選取裝置。點擊“下一步”按鈕。
5. 輸入您希望用其權限執行工作的使用者的帳戶認證。點擊“下一步”按鈕。

   預設情況下，Kaspersky Endpoint Security 作為系統使用者帳戶 (SYSTEM) 啟動工作。

   系統帳戶 (SYSTEM) 沒有權限在網路磁碟機上執行“IOC 掃描”工作。如果您想要為網路磁碟機執行工作，請選擇有此磁碟機存取權限的使用者的帳戶。

   對於網路磁碟機上的獨立 IOC 掃描工作，您需要在工作內容中手動選擇則可以存取該磁碟機的使用者帳戶。

6. 點擊“完成”按鈕完成精靈。

   在工作清單中將顯示一個新工作。

7. 點擊新工作。

   工作內容視窗將開啟。

8. 選取“應用程式設定”標籤。
9. 轉到“IOC 掃描設定”區域。
10. 加載 IOC 檔案以搜尋洩露指示器。

    加載 IOC 檔案後，您可以從 IOC 檔案檢視指示器清單。如有必要，您可以暫時從工作範圍中排除 IOC 檔案。

    不建議在執行工作後新增或刪除 IOC 檔案。這可能會導致 IOC 掃描結果對於先前執行的工作顯示不正確。要根據新的 IOC 檔案搜尋洩露指示器，建議新增工作。

11. 配置偵測到 IOC 後的動作：
    • 從網路中隔離電腦。如果選擇該選項，Kaspersky Endpoint Security 會從網路隔離電腦以防止威脅傳播。您可以在“Endpoint Detection and Response Optimum 元件設定”中配置隔離時長。
    • 將副本移動到隔離，刪除物件。如果選擇該選項，Kaspersky Endpoint Security 會刪除在電腦上發現的惡意物件。在刪除物件之前，Kaspersky Endpoint Security 會建立備份副本以防物件以後需要還原。Kaspersky Endpoint Security 會將備份副本移動到隔離。
    • 對關鍵區域執行掃描。如果選擇該選項，Kaspersky Endpoint Security 將執行“關鍵區域掃描工作”。預設情況下，Kaspersky Endpoint Security 會掃描內核記憶體、執行處理序和磁碟的開啟磁區。
12. 轉到“進階”區域。
13. 選擇必須作為工作的一部分進行分析的資料類型（IOC 文件）。

    Kaspersky Endpoint Security 根據載入的 IOC 檔案的內容自動選擇 IOC 掃描 工作的資料類型（IOC 文件）。不建議取消選擇資料類型。

    您還可以為以下資料類型配置掃描範圍：

    • 檔案 - FileItem。在使用預設範圍的電腦上設定 IOC 掃描範圍。

      預設情況下，Kaspersky Endpoint Security 僅掃描電腦中重要區域的 IOC，例如“下載”資料夾、桌面、具有臨時作業系統檔案的資料夾等等。您也可以手動新增掃描範圍。

    • Windows 事件日誌 - EventLogItem。輸入記錄事件的時間段。您也可以選擇 Windows 事件日誌用於 IOC 掃描：應用程式事件日誌，系統事件日誌，和安全事件日誌。

    對於資料類型 Windows 登錄檔 - RegistryItem， Kaspersky Endpoint Security 會掃描一個登錄機碼集合。

14. 點擊“儲存”按鈕。
15. 選中該工作旁邊的核取方塊。
16. 點擊“執行”按鈕。

因此，Kaspersky Endpoint Security 將執行搜尋電腦上的洩露指示器。您可以在工作內容的“結果”區域中檢視工作結果。您可以在工作內容中檢視偵測到的洩露指示器的有關資訊：應用程式設定 → IOC 掃描結果。

IOC 掃描結果保留 30 天。在此期間之後，Kaspersky Endpoint Security 將自動移除最舊條目。

頁面頂部