Untersuchung auf Kompromittierungsindikatoren (Standardaufgabe)

Ein Kompromittierungsindikator (IOC) ist ein Datensatz, der sich auf ein Objekt oder eine Aktivität bezieht und der auf unbefugten Zugriff auf den Computer (Kompromittierung von Daten) hinweist. Beispielsweise können viele erfolglose Versuche, sich beim System anzumelden, einen Kompromittierungsindikator darstellen. Mithilfe von IOC-Untersuchungsaufgaben können Kompromittierungsindikatoren auf dem Computer gefunden werden, um dann Maßnahmen zur Reaktion auf Bedrohungen zu ergreifen.

Kaspersky Endpoint Security sucht mithilfe von IOC-Dateien nach Kompromittierungsindikatoren. IOC-Dateien sind Dateien, die Sätze von Indikatoren enthalten, mit denen die Anwendung nach Übereinstimmungen sucht. IOC-Dateien müssen dem OpenIOC-Standard entsprechen.

Ausführungsmodus für IOC-Untersuchungsaufgaben

Mit „Kaspersky Endpoint Detection and Response“ können Sie standardmäßige IOC-Untersuchungsaufgaben erstellen, um kompromittierte Daten zu erkennen. Eine Standard-IOC-Untersuchungsaufgabe ist eine Gruppenaufgabe oder lokale Aufgabe, die manuell über die „Web Console“ erstellt und konfiguriert wird. Aufgaben werden unter Verwendung von IOC-Dateien ausgeführt, die vom Benutzer erstellt wurden. Wenn Sie einen Kompromittierungsindikator manuell hinzufügen möchten, lesen Sie bitte die Anforderungen für IOC-Dateien.

Die Datei, die Sie über den unten stehenden Link herunterladen können, enthält eine Tabelle mit einer vollständigen Liste der IOC-Bedingungen gemäß OpenIOC-Standard.

DATEI IOC_TERMS.XLSX HERUNTERLADEN

Kaspersky Endpoint Security unterstützt eigenständige IOC-Untersuchungsaufgaben auch, wenn die Anwendung als Teil der Lösung Kaspersky-Sandbox verwendet wird.

Eine IOC-Untersuchungsaufgabe erstellen

Sie können die Aufgaben IOC-Untersuchung manuell erstellen:

• In den Warnungsdetails (nur für „EDR Optimum“).

  Warnungsdetails ist ein Tool, mit dem alle über eine erkannte Bedrohung gesammelten Informationen angezeigt werden können. Zu den Alarm-Details gehört beispielsweise der Verlauf der auf dem Computer angezeigten Dateien. Einzelheiten zur Verwaltung der Alarm-Details finden Sie in der Hilfe zu „Kaspersky Endpoint Detection and Response Optimum“ und in der Hilfe zu „Kaspersky Endpoint Detection and Response Expert“.

• Mithilfe des Assistenten für das Erstellen einer Aufgabe.

Sie können die Aufgabe für „EDR Optimum“ über „Web Console“ und „Cloud Console“ konfigurieren. Die Aufgabeneinstellungen für „EDR Expert“ sind nur in „Cloud Console“ verfügbar.

Um eine IOC-Untersuchungsaufgabe zu erstellen:

1. Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Aufgaben.

   Die Aufgabenliste wird geöffnet.

2. Klicken Sie auf Hinzufügen.

   Der Assistent für neue Aufgaben wird gestartet.

3. Passen Sie die Einstellungen der Aufgabe an:
   1. Wählen Sie in der Dropdown-Liste Programm den Punkt Kaspersky Endpoint Security für Windows (11.9.0) aus.
   2. Wählen Sie in der Dropdown-Liste Aufgabentyp die Option IOC-Untersuchung.
   3. Geben Sie im Feld Aufgabenname eine kurze Beschreibung ein.
   4. Wählen Sie im Block Geräte auswählen, denen die Aufgabe zugewiesen wird den Gültigkeitsbereich der Aufgabe aus.
4. Wählen Sie die Geräte aus. Berücksichtigen Sie dabei die ausgewählte Variante für den Gültigkeitsbereich der Aufgabe. Weiter zum nächsten Schritt
5. Geben Sie die Anmeldedaten für das Konto des Benutzers ein, mit dessen Rechten Sie die Aufgabe ausführen möchten. Weiter zum nächsten Schritt

   Standardmäßig führt Kaspersky Endpoint Security die Aufgabe unter dem Systembenutzerkonto (SYSTEM) aus.

   Das Systemkonto (SYSTEM) hat keine Berechtigung, die Aufgabe IOC-Untersuchung auf Netzlaufwerken auszuführen. Wenn Sie die Aufgabe für ein Netzlaufwerk ausführen möchten, wählen Sie das Konto eines Benutzers aus, der Zugriff auf dieses Laufwerk hat.

   Für eigenständige IOC-Untersuchungsaufgaben auf Netzlaufwerken müssen Sie in den Aufgabeneigenschaften manuell das Benutzerkonto auswählen, das Zugriff auf dieses Laufwerk hat.

6. Schließen Sie den Assistenten ab.

   Die neue Aufgabe wird in der Aufgabenliste angezeigt.

7. Klicken Sie auf die neue Aufgabe.

   Das Fenster mit den Aufgabeneigenschaften wird geöffnet.

8. Wählen Sie die Registerkarte Programmeinstellungen aus.
9. Wechseln Sie zum Abschnitt IOC-Untersuchungseinstellungen.
10. Laden Sie die IOC-Dateien, um nach Kompromittierungsindikatoren zu suchen.

    Nachdem die IOC-Dateien geladen sind, können Sie die Liste der Indikatoren aus den IOC-Dateien ansehen.

    Es wird davon abgeraten, IOC-Dateien nach dem Ausführen der Aufgabe hinzuzufügen oder zu entfernen. Die Folge könnte sein, dass die IOC-Untersuchungsergebnisse für eine zuvor ausgeführte Aufgabe fehlerhaft angezeigt werden. Um Kompromittierungsindikatoren für neue IOC-Dateien zu suchen, wird empfohlen, neue Aufgaben hinzuzufügen.

11. Passen Sie die Aktionen bei der IOC-Erkennung an:
    • Computer vom Netzwerk isolieren. Wenn diese Option ausgewählt ist, isoliert Kaspersky Endpoint Security den Computer vom Netzwerk, um eine Ausbreitung der Bedrohung zu verhindern. Die Isolationsdauer können Sie in den Einstellungen der Komponente „Endpoint Detection and Response“ anpassen.
    • Kopie in die Quarantäne verschieben, Objekt löschen. Wenn diese Option ausgewählt ist, löscht Kaspersky Endpoint Security das auf dem Computer gefundene schädliche Objekt. Bevor das Objekts gelöscht wird, erstellt Kaspersky Endpoint Security eine Backup-Kopie für den Fall, dass das Objekt später wiederhergestellt werden muss. Kaspersky Endpoint Security verschiebt die Backup-Kopie in die Quarantäne.
    • Untersuchung wichtiger Bereiche ausführen. Wenn diese Option ausgewählt ist, führt Kaspersky Endpoint Security die Aufgabe Untersuchung wichtiger Bereiche aus. Kaspersky Endpoint Security untersucht standardmäßig den Kernel-Speicher, die laufenden Prozesse und die Bootsektoren.
12. Wechseln Sie zum Abschnitt Erweitert.
13. Wählen Sie die Datentypen (IOC-Dokumente) aus, die im Rahmen der Aufgabe analysiert werden sollen.

    Kaspersky Endpoint Security wählt automatisch Datentypen (IOC-Dokumente) für die Aufgabe IOC Scan entsprechend dem Inhalt der geladenen IOC-Dateien aus. Es wird nicht empfohlen, die Auswahl von Datentypen aufzuheben.

    Sie können zusätzlich Scanbereiche für die folgenden Datentypen konfigurieren:

    • Dateien - FileItem. Legen Sie einen IOC-Scanbereich auf dem Computer über voreingestellte Bereiche fest.

      Standardmäßig untersucht Kaspersky Endpoint Security nur wichtige Bereiche des Computers auf IOCs. Dazu gehören beispielsweise der Ordner „Downloads“, der Desktop und der Ordner mit temporären Betriebssystemdateien. Sie können den Untersuchungsbereich auch manuell anpassen.

    • Windows-Ereignisprotokolle - EventLogItem. Geben Sie den Zeitraum ein, in dem die Ereignisse protokolliert wurden. Außerdem können Sie auswählen, welche Windows-Ereignisprotokolle für die IOC-Untersuchung verwendet werden sollen. Standardmäßig sind die folgenden Ereignisprotokolle ausgewählt: Anwendungsereignisprotokoll, Systemereignisprotokoll und Sicherheitsereignisprotokoll.

    Für den Datentyp Windows-Registrierung - RegistryItem untersucht Kaspersky Endpoint Security eine Reihe von Registrierungsschlüsseln.

14. Wählen Sie im Eigenschaftenfenster der Aufgabe die Registerkarte Zeitplan aus.
15. Passen Sie den Zeitplan für die Aufgabe an.

    Wake-On-LAN ist für diese Aufgabe nicht verfügbar. Stellen Sie sicher, dass der Computer eingeschaltet ist, damit die Aufgabe ausgeführt werden kann.

16. Speichern Sie die vorgenommenen Änderungen.
17. Aktivieren Sie das Kontrollkästchen neben der Aufgabe.
18. Klicken Sie auf Starten.

Daraufhin durchsucht Kaspersky Endpoint Security den Computer nach Kompromittierungsindikatoren. Die Ergebnisse der Aufgabe können Sie in den Aufgabeneigenschaften im Abschnitt Ergebnisse einsehen. Sie können die Informationen zu erkannten Gefährdungsindikatoren in den Aufgabeneigenschaften anzeigen: Programmeinstellungen → IOC-Untersuchungsergebnisse.

IOC-Untersuchungsergebnisse werden für 30 Tage gespeichert. Nach diesem Zeitraum löscht Kaspersky Endpoint Security automatisch die ältesten Einträge.

Nach oben