Wskaźnik naruszeń bezpieczeństwa (IOC) to zestaw danych dotyczących obiektu lub aktywności, która wskazuje nieautoryzowany dostęp do komputera (naruszenie bezpieczeństwa danych). Na przykład, wiele niepomyślnych prób zalogowania do systemu może stanowić wskaźnik naruszeń bezpieczeństwa. Zadania Skanowanie IOC umożliwiają odszukanie wskaźników naruszeń bezpieczeństwa na komputerze i podejmują środki reakcji na zagrożenia.
Kaspersky Endpoint Security wyszukuje wskaźniki naruszeń bezpieczeństwa przy użyciu plików IOC Pliki IOC to pliki zawierające zestawy wskaźników, które aplikacja próbuje dopasować w celu policzenia wykryć. Pliki IOC muszą pasować do standardu OpenIOC.
Tryb uruchamiania zadania Skanowanie IOC
Kaspersky Endpoint Detection and Response umożliwia utworzenie standardowych zadań Skanowanie IOC do wykrywania danych, których bezpieczeństwo zostało naruszone. Standardowe zadanie skanowania IOC to zadanie grupowe lub lokalne, które jest tworzone i skonfigurowane ręcznie w konsoli Web Console. Zadania są uruchamiane przy użyciu plików IOC przygotowanych przez użytkownika. Jeśli chcesz ręcznie dodać wskaźnik naruszenia bezpieczeństwa, zapoznaj się z wymaganiami plików IOC.
Plik, który możesz pobrać, klikając poniższy odnośnik, zawiera tabelę z pełną listą warunków IOC standardu OpenIOC.
Tworzenie zadania Skanowanie IOC
Możesz ręcznie utworzyć zadania Skanowanie IOC:
Szczegóły wykrycia to narzędzie do przeglądania całości zebranych informacji o wykrytym zagrożeniu i zarządzaniu działaniami odpowiedzi. Szczegóły wykrycia obejmują, na przykład, historię plików pojawiających się na komputerze. Więcej informacji o zarządzaniu szczegółami wykrycia można znaleźć w pomocy do Kaspersky Endpoint Detection and Response Optimum oraz w pomocy do Kaspersky Endpoint Detection and Response Expert.
Możesz skonfigurować zadanie dla EDR Optimum w Web Console i Cloud Console. Ustawienia zadania dla EDR Expert są dostępne tylko w Cloud Console.
W celu utworzenia zadania Skanowanie IOC:
Zostanie otwarta lista zadań.
Zostanie uruchomiony Kreator tworzenia zadania.
Domyślnie, Kaspersky Endpoint Security uruchamia zadanie jako konto użytkownika systemu (SYSTEM).
Konto systemowe (SYSTEM) nie posiada uprawnienia do wykonywania zadania Skanowanie IOC na dyskach sieciowych. Jeśli chcesz uruchomić zadanie dla dysku sieciowego, wybierz konto użytkownika, który posiada dostęp do tego dysku.
W przypadku autonomicznych zadań Skanowanie IOC na dyskach sieciowych, we właściwościach zadania należy ręcznie wybrać konto użytkownika, które ma dostęp do tego dysku.
Nowe zadanie zostanie wyświetlone na liście zadań.
Zostanie otwarte okno właściwości zadania.
Po załadowaniu plików IOC, możesz przejrzeć listę wskaźników z plików IOC.
Dodanie lub usunięcie plików IOC po uruchomieniu zadania nie jest zalecane. To może spowodować niepoprawne wyświetlenie wyników skanowania IOC przed wcześniejszymi uruchomieniami zadania. Aby wyszukać wskaźniki naruszeń bezpieczeństwa przez nowe pliki IOC, zalecane jest dodanie nowych zadań.
Kaspersky Endpoint Security automatycznie wybiera typy danych (dokumenty IOC) dla zadania Skanowanie IOC zgodnie z zawartością załadowanych plików IOC. Nie jest zalecane odznaczenie typów danych.
Dodatkowo możesz skonfigurować obszary skanowania dla następujących typów danych:
Domyślnie, Kaspersky Endpoint Security skanuje pod kątem wskaźników naruszeń bezpieczeństwa tylko ważne obszary komputera, takie jak folder Pobrane, pulpit, folder z tymczasowymi plikami systemu operacyjnego itd. Możesz także ręcznie dodać obszar skanowania.
Dla typów danych Rejestr Windowsa - RegistryItem Kaspersky Endpoint Security skanuje zestaw kluczy rejestru.
W rezultacie Kaspersky Endpoint Security uruchamia wyszukiwanie wskaźników naruszeń bezpieczeństwa na komputerze. Możesz przejrzeć wyniki zadania we właściwościach zadania, w sekcji Wyniki. Informacje o wykrytych wskaźnikach naruszeń bezpieczeństwa możesz przejrzeć we właściwościach zadania: Ustawienia aplikacji → Wyniki skanowania IOC.
Wyniki skanowania IOC są przechowywane 30 dni. Po tym czasie Kaspersky Endpoint Security automatycznie usuwa najstarsze wpisy.
Przejdź do góry