Ein Kompromittierungsindikator (IOC) ist ein Datensatz, der sich auf ein Objekt oder eine Aktivität bezieht und der auf unbefugten Zugriff auf den Computer (Kompromittierung von Daten) hinweist. Beispielsweise können viele erfolglose Versuche, sich beim System anzumelden, einen Kompromittierungsindikator darstellen. Mithilfe von IOC-Untersuchungsaufgaben können Kompromittierungsindikatoren auf dem Computer gefunden werden, um dann Maßnahmen zur Reaktion auf Bedrohungen zu ergreifen.
Kaspersky Endpoint Security sucht mithilfe von IOC-Dateien nach Kompromittierungsindikatoren. IOC-Dateien sind Dateien, die Sätze von Indikatoren enthalten, mit denen die Anwendung nach Übereinstimmungen sucht. IOC-Dateien müssen dem OpenIOC-Standard entsprechen.
Ausführungsmodus für IOC-Untersuchungsaufgaben
Mit „Kaspersky Endpoint Detection and Response“ können Sie standardmäßige IOC-Untersuchungsaufgaben erstellen, um kompromittierte Daten zu erkennen. Eine Standard-IOC-Untersuchungsaufgabe ist eine Gruppenaufgabe oder lokale Aufgabe, die manuell über die „Web Console“ erstellt und konfiguriert wird. Aufgaben werden unter Verwendung von IOC-Dateien ausgeführt, die vom Benutzer erstellt wurden. Wenn Sie einen Kompromittierungsindikator manuell hinzufügen möchten, lesen Sie bitte die Anforderungen für IOC-Dateien.
Die Datei, die Sie über den unten stehenden Link herunterladen können, enthält eine Tabelle mit einer vollständigen Liste der IOC-Bedingungen gemäß OpenIOC-Standard.
DATEI IOC_TERMS.XLSX HERUNTERLADEN
Eine IOC-Untersuchungsaufgabe erstellen
Sie können die Aufgaben IOC-Untersuchung manuell erstellen:
Alarm-Details ist ein Tool, mit dem alle über eine erkannte Bedrohung gesammelten Informationen angezeigt und die Reaktionen verwaltet werden können. Zu den Alarm-Details gehört beispielsweise der Verlauf der auf dem Computer angezeigten Dateien. Einzelheiten zur Verwaltung der Alarm-Details finden Sie in der Hilfe zu „Kaspersky Endpoint Detection and Response Optimum“ und in der Hilfe zu „Kaspersky Endpoint Detection and Response Expert“.
Sie können die Aufgabe für „EDR Optimum“ über „Web Console“ und „Cloud Console“ konfigurieren. Die Aufgabeneinstellungen für „EDR Expert“ sind nur in „Cloud Console“ verfügbar.
Um eine IOC-Untersuchungsaufgabe zu erstellen:
Die Aufgabenliste wird geöffnet.
Der Assistent für neue Aufgaben wird gestartet.
Standardmäßig führt Kaspersky Endpoint Security die Aufgabe unter dem Systembenutzerkonto (SYSTEM) aus.
Das Systemkonto (SYSTEM) hat keine Berechtigung, die Aufgabe IOC-Untersuchung auf Netzlaufwerken auszuführen. Wenn Sie die Aufgabe für ein Netzlaufwerk ausführen möchten, wählen Sie das Konto eines Benutzers aus, der Zugriff auf dieses Laufwerk hat.
Für eigenständige IOC-Untersuchungsaufgaben auf Netzlaufwerken müssen Sie in den Aufgabeneigenschaften manuell das Benutzerkonto auswählen, das Zugriff auf dieses Laufwerk hat.
Die neue Aufgabe wird in der Aufgabenliste angezeigt.
Das Fenster mit den Aufgabeneigenschaften wird geöffnet.
Nachdem die IOC-Dateien geladen sind, können Sie die Liste der Indikatoren aus den IOC-Dateien ansehen.
Es wird davon abgeraten, IOC-Dateien nach dem Ausführen der Aufgabe hinzuzufügen oder zu entfernen. Die Folge könnte sein, dass die IOC-Untersuchungsergebnisse für eine zuvor ausgeführte Aufgabe fehlerhaft angezeigt werden. Um Kompromittierungsindikatoren für neue IOC-Dateien zu suchen, wird empfohlen, neue Aufgaben hinzuzufügen.
Kaspersky Endpoint Security wählt automatisch Datentypen (IOC-Dokumente) für die Aufgabe IOC Scan entsprechend dem Inhalt der geladenen IOC-Dateien aus. Es wird nicht empfohlen, die Auswahl von Datentypen aufzuheben.
Sie können zusätzlich Scanbereiche für die folgenden Datentypen konfigurieren:
Standardmäßig untersucht Kaspersky Endpoint Security nur wichtige Bereiche des Computers auf IOCs. Dazu gehören beispielsweise der Ordner „Downloads“, der Desktop und der Ordner mit temporären Betriebssystemdateien. Sie können den Untersuchungsbereich auch manuell anpassen.
Für den Datentyp Windows-Registrierung - RegistryItem untersucht Kaspersky Endpoint Security eine Reihe von Registrierungsschlüsseln.
Daraufhin durchsucht Kaspersky Endpoint Security den Computer nach Kompromittierungsindikatoren. Die Ergebnisse der Aufgabe können Sie in den Aufgabeneigenschaften im Abschnitt Ergebnisse einsehen. Sie können die Informationen zu erkannten Gefährdungsindikatoren in den Aufgabeneigenschaften anzeigen: Programmeinstellungen → IOC-Untersuchungsergebnisse.
IOC-Untersuchungsergebnisse werden für 30 Tage gespeichert. Nach diesem Zeitraum löscht Kaspersky Endpoint Security automatisch die ältesten Einträge.
Nach oben