الفحص للبحث عن مؤشرات الاختراق (مهمة مستقلة)

مؤشر الاختراق (IOC) عبارة عن مجموعة من البيانات حول كائن أو نشاط يشير إلى وصول غير مصرح به إلى الكمبيوتر (اختراق البيانات). على سبيل المثال، من الممكن أن تشكل العديد من المحاولات الفاشلة لتسجيل الدخول إلى النظام مؤشرًا على الاختراق. تتيح مهمة فحص IOC العثور على مؤشرات الاختراق على الكمبيوتر واتخاذ إجراءات الاستجابة للتهديدات.

يبحث Kaspersky Endpoint Security عن مؤشرات الاختراق باستخدام ملفات IOC.‏ ملفات IOC هي ملفات تحتوي على مجموعات المؤشرات التي يحاول التطبيق مطابقتها لإحصاء الاكتشاف. ويجب أن تتوافق ملفات IOC مع معيار OpenIOC. يُنشئ Kaspersky Endpoint Security تلقائيًا ملفات IOC لحل Kaspersky Sandbox.‏

وضع تشغيل مهمة فحص IOC

ينشئ التطبيق مهام فحص IOC مستقلة لحل Kaspersky Sandbox.‏ مهمة فحص IOC المستقلة هي مهمة جماعية يتم إنشاؤها تلقائيًا عند الرد على تهديد تم اكتشافه بواسطة Kaspersky Sandbox. وينشئ Kaspersky Endpoint Security ملف IOC تلقائيًا. ولا يتم دعم ملفات IOC المخصصة. ويتم حذف المهام تلقائيًا بعد 30 يومًا من وقت الإنشاء. وللمزيد من التفاصيل حول مهام فحص IOC المستقلة، يرجى الرجوع إلى تعليمات Kaspersky Sandbox‏.‏

إعدادات مهمة فحص IOC

قد ينشئ Kaspersky Sandbox ويُشّغل مهام فحص IOC تلقائيًا عند الرد على التهديدات.

يمكنك تكوين الإعدادات فقط في Web Console.‏

وتحتاج إلى برنامج Kaspersky Security Center 13.2 لكي تعمل مهام فحص IOC المستقلة في Kaspersky Sandbox.‏

لتغيير إعدادات مهمة فحص IOC:‏

  1. في النافذة الرئيسية لـ Web Console، حدد الأجهزةالمهام.‏

    تفتح قائمة المهام.

  2. انقر فوق المهمة فحص IOC في برنامج Kaspersky Endpoint Security.‏

    نافذة خصائص المهمة.

  3. حدد علامة التبويب إعدادات التطبيق.
  4. انتقل إلى القسم IOC scan settings.
  5. تكوين الإجراءات عند اكتشاف IOC:‏
    • Move copy to Quarantine, delete object. في حالة تحديد هذا الخيار، يحذف Kaspersky Endpoint Security الكائن الضار الموجود على الكمبيوتر. قبل حذف الكائن، يُنشئ Kaspersky Endpoint Security نسخة احتياطية في حالة الحاجة إلى استعادة الكائن لاحقًا. ينقل Kaspersky Endpoint Security النسخة الاحتياطية إلى العزل.
    • Run scan of critical areas. في حالة تحديد هذا الخيار، يُشغل Kaspersky Endpoint Security مهمة فحص المناطق الحرجة. بشكلٍ افتراضي، يفحص Kaspersky Endpoint Security ذاكرة kernel والعمليات قيد التشغيل وقطاعات تمهيد القرص.
  6. قم بتكوين وضع تشغيل مهمة فحص IOC باستخدام خانة الاختيار Run only when the computer is idle.‏ وتؤدي خانة الاختيار هذه إلى تمكين/تعطيل وظيفة فحص IOC عندما تكون موارد الكمبيوتر محدودة. ويوقف Kaspersky Endpoint Security فحص IOC مؤقتًا في حالة إيقاف تشغيل حافظة الشاشة وإلغاء قفل الكمبيوتر.

    يتيح لك خيار الجدولة هذا الحفاظ على موارد الكمبيوتر عند استخدام الكمبيوتر.

  7. احفظ تغييراتك.

ويمكنك عرض نتائج المهمة في خصائص المهمة في القسم النتائج. ويمكنك عرض المعلومات حول المؤشرات المكتشفة للاختراق في خصائص المهمة: Application settingsIOC Scan Results.‏

يتم الاحتفاظ بنتائج فحص IOC لمدة 30 يومًا. وبعد هذه الفترة، يحذف برنامج Kaspersky Endpoint Security تلقائيًا الإدخالات القديمة.

أعلى الصفحة