مؤشر الاختراق (IOC) عبارة عن مجموعة من البيانات حول كائن أو نشاط يشير إلى وصول غير مصرح به إلى الكمبيوتر (اختراق البيانات). على سبيل المثال، من الممكن أن تشكل العديد من المحاولات الفاشلة لتسجيل الدخول إلى النظام مؤشرًا على الاختراق. تتيح مهمة فحص IOC العثور على مؤشرات الاختراق على الكمبيوتر واتخاذ إجراءات الاستجابة للتهديدات.
يبحث Kaspersky Endpoint Security عن مؤشرات الاختراق باستخدام ملفات IOC. ملفات IOC هي ملفات تحتوي على مجموعات المؤشرات التي يحاول التطبيق مطابقتها لإحصاء الاكتشاف. ويجب أن تتوافق ملفات IOC مع معيار OpenIOC.
وضع تشغيل مهمة فحص IOC
يتيح لك Kaspersky Endpoint Detection and Response إنشاء مهام فحص IOC قياسية لاكتشاف البيانات المخترقة. مهمة فحص IOC القياسية هي مجموعة أو مهمة محلية يتم إنشاؤها وتكوينها يدويًا في Web Console. ويتم تشغيل المهام باستخدام ملفات IOC التي أعدها المستخدم. إذا كنت ترغب في إضافة مؤشر الاختراق يدويًا، فيرجى قراءة متطلبات ملفات IOC.
يحتوي الملف الذي يمكنك تنزيله بالنقر فوق الارتباط أدناه على جدول يحتوي على قائمة كاملة بشروط IOC لمعيار OpenIOC.
تنزيل ملف DOWNLOAD THE IOC_TERMS.XLSX
يدعم Kaspersky Endpoint Security أيضًا مهام مسح IOC المستقلة عند استخدام التطبيق كجزء من حل Kaspersky Sandbox.
إنشاء مهمة فحص IOC
تستطيع إنشاء مهام فحص IOC يدويًا:
تفاصيل الاكتشاف عبارة عن أداة لعرض كامل المعلومات التي تم جمعها حول التهديد المكتشف. وتتضمن تفاصيل الاكتشاف، على سبيل المثال، محفوظات الملفات التي تظهر على الكمبيوتر. وللحصول على التفاصيل عن إدارة تفاصيل الاكتشاف، يرجى الرجوع إلى تعليمات Kaspersky Endpoint Detection and Response Optimum وتعليمات Kaspersky Endpoint Detection and Response Expert.
يمكنك تكوين مهمة EDR Optimum في Web Console وCloud Console. وتتوفر إعدادات مهام EDR Expert فقط في Cloud Console.
لإنشاء مهمة فحص IOC:
تفتح قائمة المهام.
يبدأ معالج المهمة.
افتراضيًا، يبدأ Kaspersky Endpoint Security المهمة كحساب مستخدم للنظام (SYSTEM).
لا يمتلك حساب النظام (SYSTEM) إذنًا لأداء مهمة فحص IOC على محركات أقراص الشبكة. وإذا كنت تريد تشغيل المهمة لمحرك أقراص الشبكة، فحدد حساب المستخدم الذي يمتلك حق الوصول إلى محرك الأقراص هذا.
لمهام فحص IOC المستقلة على محركات أقراص الشبكة، في خصائص المهمة، تحتاج إلى تحديد حساب المستخدم الذي يمتلك حق الوصول إلى محرك الأقراص هذا يدويًا.
سيتم عرض مهمة جديدة في قائمة المهام.
نافذة خصائص المهمة.
بعد تحميل ملفات IOC، يمكنك عرض قائمة المؤشرات من ملفات IOC.
لا يوصى بإضافة ملفات IOC أو إزالتها بعد تشغيل المهمة. ومن الممكن أن يتسبب هذا في عرض نتائج فحص IOC بشكل غير صحيح لعمليات التشغيل السابقة للمهمة. وللبحث في مؤشرات الاختراق حسب ملفات IOC الجديدة، يوصى بإضافة مهام جديدة.
يحدد Kaspersky Endpoint Security تلقائيًا أنواع البيانات (مستندات IOC) لمهمة فحص IOC وفقًا لمحتوى ملفات IOC الذي تم تحميله. ولا يوصى بإلغاء تحديد أنواع البيانات.
يمكنك أيضًا تكوين نطاقات الفحص لأنواع البيانات التالية:
بشكل افتراضي، يبحث Kaspersky Endpoint Security عن مهام IOC فقط في المناطق المهمة على الكمبيوتر، مثل مجلد التنزيلات وسطح المكتب والمجلد الذي يحتوي على ملفات نظام التشغيل المؤقتة، وما إلى ذلك. ويمكنك أيضًا إضافة نطاق الفحص يدويًا.
لنوع البيانات Windows registry - RegistryItem، يفحص Kaspersky Endpoint Security مجموعة من مفاتيح التسجيل.
لا يتوفر التشغيل عن بُعد عبر الشبكة المحلية لهذه المهمة. تأكد من تشغيل الكمبيوتر لتشغيل المهمة.
نتيجة لذلك، يقوم Kaspersky Endpoint Security بتشغيل البحث عن مؤشرات الاختراق على الكمبيوتر. ويمكنك عرض نتائج المهمة في خصائص المهمة في القسم النتائج. ويمكنك عرض المعلومات حول المؤشرات المكتشفة للاختراق في خصائص المهمة: Application settings ← IOC Scan Results.
يتم الاحتفاظ بنتائج فحص IOC لمدة 30 يومًا. وبعد هذه الفترة، يحذف برنامج Kaspersky Endpoint Security تلقائيًا الإدخالات القديمة.
أعلى الصفحة