Un indicatore di compromissione (IOC) è una serie di dati su un oggetto o un'attività che indica un accesso non autorizzato al computer (compromissione dei dati). Ad esempio, molti tentativi non riusciti di accesso al sistema possono costituire un indicatore di compromissione. Le attività di scansione IOC consentono di trovare indicatori di compromissione sul computer e di adottare misure di risposta alle minacce.
Kaspersky Endpoint Security ricerca gli indicatori di compromissione utilizzando i file IOC. I file IOC sono file che contengono le serie di indicatori che l'applicazione tenta di abbinare per eseguire un rilevamento. I file IOC devono essere conformi allo standard OpenIOC.
Modalità di esecuzione dell'attività di scansione IOC
Kaspersky Endpoint Detection and Response consente di creare attività di scansione IOC standard per rilevare dati compromessi. Attività di scansione IOC standard è un'attività locale o di gruppo creata e configurata manualmente in Web Console. Le attività vengono eseguite utilizzando i file IOC preparati dall'utente. Se si desidera aggiungere un indicatore di compromissione manualmente, leggere i requisiti dei file IOC.
Il file che è possibile scaricare facendo clic sul collegamento sottostante contiene una tabella con l'elenco completo dei termini IOC dello standard OpenIOC.
DOWNLOAD DEL FILE IOC_TERMS.XLSX
Kaspersky Endpoint Security supporta anche le attività di scansione IOC standalone quando l'applicazione viene utilizzata come parte della soluzione Kaspersky Sandbox.
Creazione di un'attività di scansione IOC
È possibile creare attività Scansione IOC manualmente:
Dettagli dell'avviso è uno strumento che consente di visualizzare la totalità delle informazioni raccolte su una minaccia rilevata. Dettagli dell'avviso include, ad esempio, la cronologia dei file visualizzati nel computer. Per informazioni dettagliate sulla gestione dei dettagli dell'avviso, consultare la Guida di Kaspersky Endpoint Detection and Response Optimum e la Guida di Kaspersky Endpoint Detection and Response Expert.
È possibile configurare l'attività per EDR Optimum in Web Console e Cloud Console. Le impostazioni dell'attività per EDR Expert sono disponibili solo in Cloud Console.
Per creare un'attività di scansione IOC:
Viene aperto l'elenco delle attività.
Verrà avviata la Creazione guidata attività.
Per impostazione predefinita, Kaspersky Endpoint Security avvia l'attività come account utente di sistema (SYSTEM).
L'account di sistema (SYSTEM) non dispone dell'autorizzazione necessaria per eseguire l'attività Scansione IOC nelle unità di rete. Se si desidera eseguire l'attività per un'unità di rete, selezionare l'account di un utente che ha accesso a tale unità.
Per le attività Scansione IOC standalone nelle unità di rete, nelle proprietà dell'attività è necessario selezionare manualmente l'accesso utente che ha accesso a tale unità.
Verrà visualizzata una nuova attività nell'elenco delle attività.
Verrà visualizzata la finestra delle proprietà dell'attività.
Dopo aver caricato i file IOC, è possibile visualizzare l'elenco degli indicatori dai file IOC.
Si sconsiglia di aggiungere o rimuovere file IOC dopo l'esecuzione dell'attività, poiché può causare la visualizzazione errata dei risultati della scansione IOC per le esecuzioni dell'attività precedenti. Per cercare indicatori di compromissione da parte di nuovi file IOC, si consiglia di aggiungere nuove attività.
Kaspersky Endpoint Security seleziona automaticamente i tipi di dati (documenti IOC) per l'attività Scansione IOC in conformità con i contenuti dei file IOC caricati. Si sconsiglia di deselezionare i tipo di dati.
È inoltre possibile configurare gli ambiti della scansione per i seguenti tipi di dati:
Per impostazione predefinita, Kaspersky Endpoint Security esamina gli IOC solo nelle aree importanti del computer, ad esempio la cartella Download, il desktop, la cartella con i file temporanei del sistema operativo ecc. È inoltre possibile aggiungere manualmente l'ambito della scansione.
Per il tipo di dati Registro di sistema di Windows - RegistryItem, Kaspersky Endpoint Security esamina una serie di chiavi del Registro di sistema.
La funzionalità di riattivazione LAN non è disponibile per questa attività. Assicurarsi che il computer sia acceso per eseguire l'operazione.
A questo punto, Kaspersky Endpoint Security esegue la ricerca degli indicatori di compromissione sul computer. È possibile visualizzare i risultati dell'attività nelle proprietà dell'attività nelle sezione Risultati. È possibile visualizzare le informazioni sugli indicatori di compromissione rilevati nelle proprietà dell'attività: Impostazioni applicazione → Risultati scansione IOC.
I risultati della scansione IOC vengono conservati per 30 giorni. Al termine di questo periodo, Kaspersky Endpoint Security elimina automaticamente le voci meno recenti.
Inizio pagina