Untersuchung auf Kompromittierungsindikatoren (eigenständige Aufgabe)

Ein Kompromittierungsindikator (IOC) ist ein Datensatz, der sich auf ein Objekt oder eine Aktivität bezieht und der auf unbefugten Zugriff auf den Computer (Kompromittierung von Daten) hinweist. Beispielsweise können viele erfolglose Versuche, sich beim System anzumelden, einen Kompromittierungsindikator darstellen. Mithilfe von IOC-Untersuchungsaufgaben können Kompromittierungsindikatoren auf dem Computer gefunden werden, um dann Maßnahmen zur Reaktion auf Bedrohungen zu ergreifen.

Kaspersky Endpoint Security sucht mithilfe von IOC-Dateien nach Kompromittierungsindikatoren. IOC-Dateien sind Dateien, die Sätze von Indikatoren enthalten, mit denen die Anwendung nach Übereinstimmungen sucht. IOC-Dateien müssen dem OpenIOC-Standard entsprechen. Kaspersky Endpoint Security generiert automatisch IOC-Dateien für „Kaspersky Sandbox“.

Ausführungsmodus für IOC-Untersuchungsaufgaben

Das Programm erstellt eigenständige IOC-Untersuchungsaufgaben für „Kaspersky Sandbox“. Eine eigenständige IOC-Untersuchungsaufgabe ist eine Gruppenaufgabe, die automatisch erstellt wird, wenn auf eine durch „Kaspersky Sandbox“ erkannte Bedrohung reagiert wird. Kaspersky Endpoint Security erstellt die IOC-Datei automatisch. Benutzerdefinierte IOC-Dateien werden nicht unterstützt. Aufgaben werden 30 Tage nach dem Erstellen automatisch gelöscht. Weitere Informationen zu eigenständigen IOC-Untersuchungsaufgaben finden Sie in der Hilfe zur Kaspersky Sandbox.

Einstellungen von IOC-Untersuchungsaufgaben

„Kaspersky Sandbox“ kann als Reaktion auf Bedrohungen automatisch IOC-Untersuchungsaufgaben erstellen und ausführen.

Die Einstellungen können nur über die „Web Console“ konfiguriert werden.

Damit die eigenständigen IOC-Untersuchungsaufgaben von „Kaspersky Sandbox“ funktionieren, benötigen Sie Kaspersky Security Center 13.2.

Um die Einstellungen der IOC-Untersuchungsaufgabe zu ändern:

Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Aufgaben.
Die Aufgabenliste wird geöffnet.
Klicken Sie auf die Aufgabe von Kaspersky Endpoint Security: IOC-Untersuchung.
Das Fenster mit den Aufgabeneigenschaften wird geöffnet.
Wählen Sie die Registerkarte Programmeinstellungen aus.
Wechseln Sie zum Abschnitt IOC-Untersuchungseinstellungen.
Passen Sie die Aktionen bei der IOC-Erkennung an:
- Kopie in die Quarantäne verschieben, Objekt löschen. Wenn diese Option ausgewählt ist, löscht Kaspersky Endpoint Security das auf dem Computer gefundene schädliche Objekt. Bevor das Objekts gelöscht wird, erstellt Kaspersky Endpoint Security eine Backup-Kopie für den Fall, dass das Objekt später wiederhergestellt werden muss. Kaspersky Endpoint Security verschiebt die Backup-Kopie in die Quarantäne.
- Untersuchung wichtiger Bereiche ausführen. Wenn diese Option ausgewählt ist, führt Kaspersky Endpoint Security die Aufgabe Untersuchung wichtiger Bereiche aus. Kaspersky Endpoint Security untersucht standardmäßig den Kernel-Speicher, die laufenden Prozesse und die Bootsektoren.
Passen Sie den Ausführungsmodus für die IOC-Untersuchungsaufgabe mithilfe des Kontrollkästchens Nur ausführen, wenn der Computer inaktiv ist an. Dieses Kontrollkästchen aktiviert/deaktiviert eine Funktion, mit der die Aufgabe IOC-Untersuchung angehalten wird, wenn die Computerressourcen ausgelastet sind. Kaspersky Endpoint Security hält die Aufgabe IOC-Untersuchung an, wenn der Bildschirmschoner nicht aktiviert und der Computer entsperrt ist.
Mit dieser Zeitplanoption können Sie die Computerressourcen schonen, während der Computer verwendet wird.
Speichern Sie die vorgenommenen Änderungen.

Die Ergebnisse der Aufgabe können Sie in den Aufgabeneigenschaften im Abschnitt Ergebnisse einsehen. Sie können die Informationen zu erkannten Gefährdungsindikatoren in den Aufgabeneigenschaften anzeigen: Programmeinstellungen → IOC-Untersuchungsergebnisse.

IOC-Untersuchungsergebnisse werden für 30 Tage gespeichert. Nach diesem Zeitraum löscht Kaspersky Endpoint Security automatisch die ältesten Einträge.

Nach oben