Skanowanie pod kątem wskaźników naruszeń bezpieczeństwa (zadanie standardowe)

Wskaźnik naruszeń bezpieczeństwa (IOC) to zestaw danych dotyczących obiektu lub aktywności, która wskazuje nieautoryzowany dostęp do komputera (naruszenie bezpieczeństwa danych). Na przykład, wiele niepomyślnych prób zalogowania do systemu może stanowić wskaźnik naruszeń bezpieczeństwa. Zadania Skanowanie IOC umożliwiają odszukanie wskaźników naruszeń bezpieczeństwa na komputerze i podejmują środki reakcji na zagrożenia.

Kaspersky Endpoint Security wyszukuje wskaźniki naruszeń bezpieczeństwa przy użyciu plików IOC Pliki IOC to pliki zawierające zestawy wskaźników, które aplikacja próbuje dopasować w celu policzenia wykryć. Pliki IOC muszą pasować do standardu OpenIOC.

Tryb uruchamiania zadania Skanowanie IOC

Kaspersky Endpoint Detection and Response umożliwia utworzenie standardowych zadań Skanowanie IOC do wykrywania danych, których bezpieczeństwo zostało naruszone. Standardowe zadanie skanowania IOC to zadanie grupowe lub lokalne, które jest tworzone i skonfigurowane ręcznie w konsoli Web Console. Zadania są uruchamiane przy użyciu plików IOC przygotowanych przez użytkownika. Jeśli chcesz ręcznie dodać wskaźnik naruszenia bezpieczeństwa, zapoznaj się z wymaganiami plików IOC.

Plik, który możesz pobrać, klikając poniższy odnośnik, zawiera tabelę z pełną listą warunków IOC standardu OpenIOC.

POBIERZ PLIK IOC_TERMS.XLSX

Kaspersky Endpoint Security także obsługuje autonomiczne zadania skanowania IOC, gdy aplikacja jest używana jako część rozwiązania Kaspersky Sandbox.

Tworzenie zadania Skanowanie IOC

Możesz ręcznie utworzyć zadania Skanowanie IOC:

• W szczegółach alertów (tylko dla EDR Optimum).

  Szczegóły wykrycia to narzędzie do przeglądania całości zebranych informacji o wykrytym zagrożeniu. Szczegóły wykrycia obejmują, na przykład, historię plików pojawiających się na komputerze. Więcej informacji o zarządzaniu szczegółami wykrycia można znaleźć w pomocy do Kaspersky Endpoint Detection and Response Optimum oraz w pomocy do Kaspersky Endpoint Detection and Response Expert.

• Korzystanie z Kreatora tworzenia zadania.

Możesz skonfigurować zadanie dla EDR Optimum w Web Console i Cloud Console. Ustawienia zadania dla EDR Expert są dostępne tylko w Cloud Console.

W celu utworzenia zadania Skanowanie IOC:

1. W oknie głównym Web Console wybierz Urządzenia → Zadania.

   Zostanie otwarta lista zadań.

2. Kliknij przycisk Dodaj.

   Zostanie uruchomiony Kreator tworzenia zadania.

3. Skonfiguruj ustawienia zadania:
   1. Na liście rozwijalnej Aplikacja wybierz Kaspersky Endpoint Security for Windows (11.9.0).
   2. Na liście rozwijanej Typ zadania wybierz Skanowanie IOC.
   3. W polu Nazwa zadania wpisz krótki opis.
   4. W sekcji Wybierz urządzenia, do których zostanie przypisane zadanie wybierz obszar zadania.
4. Wybierz urządzenia zgodnie z opcją wybranego obszaru zadania. Przejdź do następnego kroku.
5. Wprowadź poświadczenia konta użytkownika, którego uprawnień chcesz użyć do uruchomienia zadania. Przejdź do następnego kroku.

   Domyślnie, Kaspersky Endpoint Security uruchamia zadanie jako konto użytkownika systemu (SYSTEM).

   Konto systemowe (SYSTEM) nie posiada uprawnienia do wykonywania zadania Skanowanie IOC na dyskach sieciowych. Jeśli chcesz uruchomić zadanie dla dysku sieciowego, wybierz konto użytkownika, który posiada dostęp do tego dysku.

   W przypadku autonomicznych zadań Skanowanie IOC na dyskach sieciowych, we właściwościach zadania należy ręcznie wybrać konto użytkownika, które ma dostęp do tego dysku.

6. Zakończ działanie Kreatora.

   Nowe zadanie zostanie wyświetlone na liście zadań.

7. Kliknij nowe zadanie.

   Zostanie otwarte okno właściwości zadania.

8. Wybierz zakładkę Ustawienia aplikacji.
9. Przejdź do sekcji Ustawienia skanowania IOC.
10. Wczytaj pliki IOC, aby wyszukać wskaźniki naruszeń bezpieczeństwa.

    Po załadowaniu plików IOC, możesz przejrzeć listę wskaźników z plików IOC.

    Dodanie lub usunięcie plików IOC po uruchomieniu zadania nie jest zalecane. To może spowodować niepoprawne wyświetlenie wyników skanowania IOC przed wcześniejszymi uruchomieniami zadania. Aby wyszukać wskaźniki naruszeń bezpieczeństwa przez nowe pliki IOC, zalecane jest dodanie nowych zadań.

11. Skonfiguruj akcje po wykryciu IOC:
    • Odizoluj komputer od sieci. Jeśli ta opcja jest zaznaczona, Kaspersky Endpoint Security odizoluje komputer od sieci, aby zapobiec rozprzestrzenianiu się zagrożenia. Możesz skonfigurować czas trwania izolacji w ustawieniach komponentu Endpoint Detection and Response.
    • Przenieś kopię do Kwarantanny, usuń obiekt. Jeśli ta opcja została zaznaczona, Kaspersky Endpoint Security usunie szkodliwy obiekt wykryty na komputerze. Przed usunięciem obiektu Kaspersky Endpoint Security utworzy kopię zapasową w przypadku, gdy obiekt musi zostać przywrócony w późniejszym czasie. Kaspersky Endpoint Security przeniesie kopię zapasową do Kwarantanny.
    • Uruchom skanowanie obszarów krytycznych. Jeśli ta opcja jest zaznaczona, Kaspersky Endpoint Security uruchamia zadanie Skanowanie obszarów krytycznych. Domyślnie, Kaspersky Endpoint Security skanuje pamięć jądra, uruchomione procesy i sektory startowe dysku.
12. Przejdź do sekcji Zaawansowane.
13. Wybierz typy danych (dokumenty IOC), które muszą zostać przeanalizowane jako część zadania.

    Kaspersky Endpoint Security automatycznie wybiera typy danych (dokumenty IOC) dla zadania Skanowanie IOC zgodnie z zawartością załadowanych plików IOC. Nie jest zalecane odznaczenie typów danych.

    Dodatkowo możesz skonfigurować obszary skanowania dla następujących typów danych:

    • Pliki - FileItem. Ustaw obszar skanowania IOC na komputerze przy użyciu predefiniowanych obszarów.

      Domyślnie, Kaspersky Endpoint Security skanuje pod kątem wskaźników naruszeń bezpieczeństwa tylko ważne obszary komputera, takie jak folder Pobrane, pulpit, folder z tymczasowymi plikami systemu operacyjnego itd. Możesz także ręcznie dodać obszar skanowania.

    • Dzienniki zdarzeń Windows - EventLogItem. Wprowadź czas zarejestrowania zdarzeń. Możesz także wybrać, które dzienniki zdarzeń systemu Windows muszą być użyte dla skanowania IOC. Domyślnie, wybrane są następujące dzienniki zdarzeń: dziennik zdarzeń aplikacji, dziennik zdarzeń systemu oraz dziennik zdarzeń ochrony.

    Dla typów danych Rejestr Windowsa - RegistryItem Kaspersky Endpoint Security skanuje zestaw kluczy rejestru.

14. W oknie właściwości zadania wybierz zakładkę Terminarz.
15. Skonfiguruj terminarz zadania.

    Wake-on-LAN nie jest dostępne dla tego zadania. Upewnij się, że komputer jest włączony do uruchomienia zadania.

16. Zapisz swoje zmiany.
17. Zaznacz pole obok zadania.
18. Kliknij przycisk Uruchom.

W rezultacie Kaspersky Endpoint Security uruchamia wyszukiwanie wskaźników naruszeń bezpieczeństwa na komputerze. Możesz przejrzeć wyniki zadania we właściwościach zadania, w sekcji Wyniki. Informacje o wykrytych wskaźnikach naruszeń bezpieczeństwa możesz przejrzeć we właściwościach zadania: Ustawienia aplikacji → Wyniki skanowania IOC.

Wyniki skanowania IOC są przechowywane 30 dni. Po tym czasie Kaspersky Endpoint Security automatycznie usuwa najstarsze wpisy.

Przejdź do góry