妥协的指标扫描(独立任务)

妥协的指标 (IOC) 是一组关于对象或活动的数据,表示未经授权访问计算机(数据泄露)。例如,许多登录系统的尝试都不成功,这可能构成妥协的指标。IOC 扫描任务允许在计算机上查找妥协的指标,并采取威胁响应措施。

Kaspersky Endpoint Security 使用 IOC 文件搜索妥协的指标,IOC 文件是包含应用程序尝试匹配以计数检测的指标集的文件。IOC 文件必须符合 OpenIOC 标准。Kaspersky Endpoint Security 自动为 Kaspersky Sandbox 生成 IOC 文件。

IOC 扫描任务运行模式

应用程序为 Kaspersky Sandbox 创建独立 IOC 扫描任务。独立 IOC 扫描任务是在对 Kaspersky Sandbox 检测到的威胁作出反应时自动创建的组任务。Kaspersky Endpoint Security 自动生成 IOC 文件。不支持自定义 IOC 文件。任务在创建时间 30 天后被自动删除。有关独立 IOC 扫描任务的更多详细信息,请参阅 Kaspersky Sandbox 帮助

IOC 扫描任务设置

Kaspersky Sandbox 在响应威胁时可能自动创建并运行 IOC 扫描任务。

您仅可以在 Web Console 中配置设置。

您需要 Kaspersky Security Center 13.2 以便 Kaspersky Sandbox 的独立 IOC 扫描任务可以正常运行。

要更改 IOC 扫描任务设置:

  1. 在 Web 控制台的主窗口中,选择“设备”→“任务”。

    任务列表打开。

  2. 单击 Kaspersky Endpoint Security 的“IOC 扫描”任务。

    任务属性窗口将打开。

  3. 选择“应用程序设置”选项卡。
  4. 转到“IOC 扫描设置”区域。
  5. 配置 IOC 检测操作:
    • 将副本移动到隔离区,删除对象。如果选择此选项,Kaspersky Endpoint Security 删除在计算机上发现的恶意对象。删除对象之前,Kaspersky Endpoint Security 创建备份副本,以便日后对其进行恢复。Kaspersky Endpoint Security 移动备份副本到隔离区。
    • 对关键区域运行扫描。如果选择此选项,Kaspersky Endpoint Security 运行关键区域扫描任务。默认情况下, Kaspersky Endpoint Security 会扫描内核内存、运行进程和磁盘的引导扇区。
  6. 使用“仅在计算机空闲时运行”复选框配置 IOC 扫描任务运行模式。此复选框可启用/禁用当计算机资源有限时暂停 IOC 扫描任务功能。当屏幕保护关闭且计算机解除锁定时,Kaspersky Endpoint Security 将暂停 IOC 扫描任务。

    此计划选项允许您在使用计算机时节省计算机资源。

  7. 保存更改。

您可以在“结果”部分的“任务属性”中查看任务结果。您可以在任务属性中查看有关检测到的妥协的指标的信息:应用程序设置IOC 扫描结果

IOC 扫描结果被保存 30 天。在此时间之后,Kaspersky Endpoint Security 将自动删除最早条目。

页面顶部