Verificar os indicadores de comprometimento (tarefa padrão)

Um Indicador de compromisso (IOC) é um conjunto de dados sobre um objeto ou atividade que indica acesso não autorizado ao computador (comprometimento de dados). Por exemplo, muitas tentativas malsucedidas de entrar no sistema podem constituir um indicador de compromisso. A Verificação de IOC tarefa permite localizar indicadores de comprometimento no computador e tomar as medidas de resposta a ameaças.

O Kaspersky Endpoint Security procura indicadores de comprometimento usando arquivos IOC. Arquivos IOC são arquivos contendo os conjuntos de indicadores que o aplicativo tenta combinar para contar uma detecção. Os arquivos IOC devem estar em conformidade com o padrão OpenIOC.

Modo de execução de tarefas Verificação de IOC

O Kaspersky Endpoint Detection and Response permite criar tarefas padrão de verificação de IOC para detectar dados comprometidos. Tarefa de verificação de IOC padrão é um grupo ou tarefa local criado e configurado manualmente no Web Console. As tarefas são executadas usando arquivos IOC preparados pelo usuário. Caso queira adicionar um indicador de comprometimento manualmente, leia os requisitos para arquivos IOC.

O arquivo que pode ser baixado clicando no link abaixo contém uma tabela com a lista completa dos termos de IOC do padrão OpenIOC.

DOWNLOAD DO ARQUIVO IOC TERMS.XLSX

O Kaspersky Endpoint Security também tem suporte para tarefas de verificação de IOC autônomas quando o aplicativo é usado como parte da solução Kaspersky Sandbox.

Criação de uma tarefa de verificação de IOC

É possível criar tarefas de Verificação de IOC manualmente:

• Em detalhes de alertas (somente para EDR Optimum).

  Destalhes de alertas é uma ferramenta para visualizar todas as informações coletadas sobre uma ameaça detectada. Os detalhes da alertas incluem, por exemplo, o histórico de arquivos aparentes no computador. Para obter detalhes sobre o gerenciamento dos detalhes de alertas, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum e a Ajuda do Kaspersky Endpoint Detection and Response Expert.

• Uso do assistente de tarefa.

É possível configurar a tarefa para o EDR Optimum no Web Console e Cloud Console. As configurações da tarefa para EDR Expert estão disponíveis somente no Cloud Console.

Para criar uma tarefa de Verificação de IOC:

1. Na janela principal do Web Console, selecionar Dispositivos → Tarefas.

   A lista de tarefas é aberta.

2. Clique no botão Adicionar.

   O Assistente de Tarefas é iniciado.

3. Defina as configurações da tarefa:
   1. Na lista suspensa Aplicativo, selecione Kaspersky Endpoint Security for Windows (12.0).
   2. Na lista suspensa Tipo de tarefa, selecione Verificação de IOC.
   3. No campo Nome de tarefa, insira uma breve descrição.
   4. No bloco Selecionar os dispositivos aos quais a tarefa será atribuída, selecione o escopo da tarefa.
4. Selecione os dispositivos de acordo com a opção de escopo da tarefa selecionada. Vá para a próxima etapa.
5. Insira as credenciais da conta do usuário cujos direitos deseja usar para executar a tarefa. Vá para a próxima etapa.

   Por padrão, o Kaspersky Endpoint Security inicia a tarefa como a conta de usuário do sistema (SISTEMA).

   A conta do sistema (SYSTEM) não tem permissão para executar a tarefa Verificação de IOC nas unidades de rede. Caso queira executar a tarefa para uma unidade de rede, selecione a conta de um usuário que tem acesso a essa unidade.

   Para tarefas de Verificação de IOC autônomas em unidades de rede, é necessário selecionar manualmente a conta de usuário com acesso a esta unidade nas propriedades da tarefa.

6. Sair do assistente.

   Uma nova tarefa será exibida na lista de tarefas.

7. Clique na Nova Tarefa.

   A janela de propriedades da tarefa é exibida.

8. Selecione a guia Configurações do aplicativo.
9. Ir para a seção Configurações da verificação de IOC.
10. Carregue os arquivos IOC para pesquisar os indicadores de comprometimento.

    Depois de carregar os arquivos IOC, é possível visualizar a lista de indicadores dos arquivos IOC.

    Adicionar ou remover arquivos IOC após a execução da tarefa não é recomendado. Isso pode fazer com que os resultados da verificação de IOC sejam exibidos incorretamente para execuções anteriores da tarefa. Para pesquisar os indicadores de comprometimento por novos arquivos IOC, é recomendável adicionar novas tarefas.

11. Configure ações ao detectar IOC:
    • Isolar o computador da rede. Caso a opção seja selecionada, o Kaspersky Endpoint Security isola o computador da rede para evitar que a ameaça se espalhe. É possível configurar a duração do isolamento no componente de configurações do Endpoint Detection and Response.
    • Mover cópia para a Quarentena, excluir objeto. Caso a opção seja selecionada, o Kaspersky Endpoint Security exclui o objeto malicioso encontrado no computador. Antes de excluir o objeto, o Kaspersky Endpoint Security cria uma cópia de backup, caso o objeto precise ser restaurado posteriormente. O Kaspersky Endpoint Security move a cópia de backup para a quarentena.
    • Executar a verificação de áreas críticas. Se essa opção for selecionada, o Kaspersky Endpoint Security executa a tarefa Verificação de áreas críticas. Por padrão, o Kaspersky Endpoint Security verifica a memória kernel, os processos de execução e os setores de inicialização de disco.
12. Ir para a seção Avançado.
13. Selecione os tipos de dados (documentos IOC) que devem ser analisados como parte da tarefa.

    O Kaspersky Endpoint Security seleciona automaticamente os tipos de dados para a tarefa de verificação de IOC de acordo com o conteúdo dos arquivos IOC carregados. Não é recomendado remover a seleção dos tipos de dados.

    Ainda é possível configurar escopos da verificação para os seguintes tipos de dados:

    • Arquivos – FileItem. Defina o escopo da verificação de IOC no computador utilizando escopos predefinidos.

      Por padrão, o Kaspersky Endpoint Security verifica IOCs somente em áreas importantes do computador, como a pasta Downloads, a área de trabalho, a pasta com arquivos temporários do sistema operacional etc. Também é possível adicionar o escopo da verificação manualmente.

    • Logs de eventos do Windows - EventLogItem. Insira o período de tempo referente a quando os eventos foram registrados. Também é possível selecionar quais dos logs de eventos do Windows devem ser usados para verificação IOC. Por padrão, os seguintes logos de evento são selecionados: log de eventos do aplicativo, log de eventos do sistema, log de eventos de segurança.

    Para o tipo de dados Registro do Windows - RegistryItem, o Kaspersky Endpoint Security verifica um conjunto de chaves do registro.

14. Na janela de propriedades da tarefa, selecione a guia Agendamento.
15. Configure a tarefa de verificação.

    Wake-on-LAN não está disponível para esta tarefa. Certifique-se de que o computador está ligado para executar a tarefa.

16. Salvar alterações.
17. Marque a caixa de seleção ao lado da tarefa.
18. Clique no botão Executar.

Como resultado, o Kaspersky Endpoint Security executa a pesquisa de indicadores de comprometimento do computador. É possível visualizar os resultados da tarefa, nas propriedades da tarefa, na seção Resultados. É possível visualizar as informações sobre os indicadores de compromisso detectados nas propriedades da tarefa: Configurações do aplicativo → Resultados da verificação de IOC.

Os resultados da verificação de IOC são mantidos por 30 dias. Após esse período, o Kaspersky Endpoint Security exclui as entradas mais antigas automaticamente.

Início da página