妥协的指标 (IOC) 是一组关于对象或活动的数据,表示未经授权访问计算机(数据泄露)。例如,许多登录系统的尝试都不成功,这可能构成妥协的指标。IOC 扫描任务允许在计算机上查找妥协的指标,并采取威胁响应措施。
Kaspersky Endpoint Security 使用 IOC 文件搜索妥协的指标。IOC 文件是包含应用程序尝试匹配以计数检测的指标集的文件。IOC 文件必须符合 OpenIOC 标准。
IOC 扫描任务运行模式
Kaspersky Endpoint Detection and Response 允许您创建标准 IOC 扫描任务以检测受损数据。标准 IOC 扫描任务是在 Web Console 中手动创建和配置的组或本地任务。任务使用用户准备的 IOC 文件运行。如果您要手动添加妥协的指标,请阅读 IOC 文件需求。
您可以通过单击下面的链接下载该文件,该文件包含一个表,其中包含 OpenIOC 标准的 IOC 术语的完整列表。
当 Kaspersky Endpoint Security 作为“Kaspersky Sandbox”解决方案的一部分使用时,它也支持独立 IOC 扫描任务。
创建一个 IOC 扫描任务
您可以手动创建 IOC 扫描任务:
警报详情是一种工具,用于查看所收集的有关检测到的威胁的全部信息。警报详情包括,例如,出现在计算机的文件历史。有关管理警报详情的更多信息,请参阅 Kaspersky Endpoint Detection and Response Optimum 帮助和 Kaspersky Endpoint Detection and Response Expert 帮助。
您可以在 Web 控制台和云控制台中为 EDR Optimum 配置任务。EDR Expert 的任务设置仅在云控制台中可用。
要创建一个 IOC 扫描任务:
任务列表打开。
“任务向导”将启动。
默认下,Kaspersky Endpoint Security 以系统用户账户 (SYSTEM) 启动任务。
系统账户(SYSTEM)没有权限在网络驱动器上执行 IOC 扫描任务。如果您要为网络驱动器运行任务,选择对该驱动器具有访问权限的用户账户。
对于网络驱动器上的独立 IOC 扫描任务,您需要在任务属性中手动选择具有该驱动器访问权限的用户账户。
在任务列表中将显示一个新任务。
任务属性窗口将打开。
加载 IOC 文件后,您可以查看 IOC 文件中的指标列表。
不建议在运行任务后添加或删除 IOC 文件。这可能会导致 IOC 扫描结果在任务之前的运行中显示不正确。要通过新的 IOC 文件搜索妥协的指标,建议添加新任务。
Kaspersky Endpoint Security 根据加载的 IOC 文件的内容自动选择 IOC 扫描任务的数据类型(IOC 文档)。不建议取消选择数据类型。
您还可以为以下数据类型配置扫描范围:
默认下,Kaspersky Endpoint Security 仅在计算机的重要区域扫描 IOC,例如“下载”文件夹、桌面、临时操作系统文件文件夹等等。您也可以手动添加扫描范围。
对于 Windows 注册表 – RegistryItem 数据类型,Kaspersky Endpoint Security 扫描一组注册表键集合。
LAN 唤醒不可用于此任务。确保计算机已打开以运行任务。
结果,Kaspersky Endpoint Security 运行搜索以在计算机上查找妥协的指标。您可以在“结果”部分的“任务属性”中查看任务结果。您可以在任务属性中查看有关检测到的妥协的指标的信息:应用程序设置 → IOC 扫描结果。
IOC 扫描结果被保存 30 天。在此时间之后,Kaspersky Endpoint Security 将自动删除最早条目。
页面顶部