Un Indicador de compromiso (IOC) es un conjunto de datos sobre un objeto o una actividad que indica acceso no autorizado al equipo (compromiso de datos). Por ejemplo, muchos intentos fallidos de iniciar sesión en el sistema pueden constituir un indicador de compromiso. La tarea Análisis de IOC permite encontrar indicadores de compromiso en el equipo y tomar medidas de respuesta ante amenazas.
Kaspersky Endpoint Security busca indicadores de compromiso mediante el uso de archivos de IOC. Los Archivos de IOC son archivos que contienen los conjuntos de indicadores que la aplicación intenta hacer coincidir para contar una detección. Los archivos de IOC deben cumplir con el estándar OpenIOC.
Modo de ejecución de la tarea de Análisis de IOC
Kaspersky Endpoint Detection and Response le permite crear tareas de análisis de IOC estándar para detectar datos en peligro. Tarea de Análisis de IOC estándar es una tarea grupal o local que se crea y configura manualmente en Web Console. Las tareas se ejecutan mediante el uso de archivos de IOC preparados por el usuario. Si desea agregar un indicador de compromiso de forma manual, lea los requerimientos para archivos de IOC.
El archivo que puede descargar haciendo clic en el siguiente vínculo, contiene una tabla con la lista completa de términos IOC del estándar OpenIOC.
DESCARGAR EL ARCHIVO IOC_TERMS.XLSX
Kaspersky Endpoint Security también admite tareas de análisis de IOC independientes cuando la aplicación se utiliza como parte de la solución Kaspersky Sandbox.
Crear una tarea de análisis de IOC
Puede crear tareas de Análisis de IOC manualmente:
Detalles de la alerta es una herramienta para ver la totalidad de la información recopilada sobre una amenaza detectada. Los detalles de la alerta incluyen, por ejemplo, el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de los detalles de la alerta, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum y la Ayuda de Kaspersky Endpoint Detection and Response Expert.
Puede configurar la tarea para EDR Optimum en Web Console y Cloud Console. La configuración de la tarea para EDR Expert está disponible solo en Cloud Console.
Para crear una tarea de análisis de IOC:
Se abre la lista de tareas.
Se inicia el Asistente de tareas.
De forma predeterminada, Kaspersky Endpoint Security inicia la tarea como la cuenta de usuario del sistema (SYSTEM).
La cuenta del sistema (SYSTEM) no tiene permiso para ejecutar las tareas de análisis de IOC en las unidades de red. Si desea ejecutar la tarea para una unidad de red, seleccione la cuenta de un usuario que tenga acceso a dicha unidad.
En el caso de las tareas independientes de análisis de IOC en unidades de red, es necesario seleccionar manualmente la cuenta de usuario que tiene acceso a esta unidad en las propiedades de la tarea.
La nueva tarea aparecerá en la lista de tareas.
Se abre la ventana de propiedades de la tarea.
Después de cargar los archivos de IOC, puede ver la lista de indicadores de los archivos de IOC.
No se recomienda agregar o eliminar archivos de IOC después de ejecutar la tarea. Esto puede hacer que los resultados del análisis de IOC se muestren de manera incorrecta para ejecuciones anteriores de la tarea. Para buscar indicadores de compromiso en archivos IOC nuevos, se recomienda agregar nuevas tareas.
Kaspersky Endpoint Security selecciona automáticamente los tipos de datos (documentos IOC) para la tarea Análisis de IOC de acuerdo con el contenido de los archivos de IOC cargados. No se recomienda anular la selección de los tipos de datos.
Además, puede configurar los alcances del análisis de los siguientes tipos de datos:
De manera predeterminada, Kaspersky Endpoint Security analiza IOC solo en áreas importantes del equipo, como la carpeta de descargas, el escritorio, la carpeta con archivos temporales del sistema operativo, etc. También se puede agregar manualmente al alcance del análisis.
Para el tipo de datos de Registro de Windows RegistryItem, Kaspersky Endpoint Security analiza un conjunto de claves del registro.
Wake-on-LAN no está disponible para esta tarea. Asegúrese de que el equipo esté encendido para ejecutar la tarea.
De esta manera, Kaspersky Endpoint Security ejecuta la búsqueda de indicadores de compromiso en el equipo. Puede ver los resultados de la tarea en las propiedades de la tarea en la sección Resultados. Puede ver la información sobre los indicadores de compromiso detectados en las propiedades de la tarea: Configuración de la aplicación → Resultados del análisis de IOC.
Los resultados del análisis de IOC se mantienen durante 30 días. Después de ese plazo, Kaspersky Endpoint Security elimina automáticamente las entradas más antiguas.
Inicio de página