Un Indicador de compromiso (IOC) es un conjunto de datos sobre un objeto o actividad que indica el acceso no autorizado al equipo (compromiso de datos). Por ejemplo, muchos intentos fallidos de iniciar sesión en el sistema pueden constituir un indicador de compromiso. La tarea de Análisis de IOC permite encontrar indicadores de compromiso en el equipo y tomar medidas de respuesta a la amenaza.
Kaspersky Endpoint Security busca indicadores de compromiso utilizando archivos IOC. Los archivos IOC son archivos que contienen los conjuntos de indicadores que la aplicación intenta hacer coincidir para contar una detección. Los archivos IOC deben cumplir con el estándar OpenIOC.
Modo de ejecución de tareas Análisis de IOC
Kaspersky Endpoint Detection and Response le permite crear tareas de análisis de IOC estándar para detectar datos en peligro. La tarea de análisis de IOC estándar es una tarea grupal o local que se crea y configura manualmente en Web Console. Las tareas se ejecutan mediante archivos IOC preparados por el usuario. Si desea añadir un indicador de compromiso de forma manual, lea los requerimientos para archivos de IOC.
El archivo que puede descargar al hacer clic en el enlace a continuación contiene una tabla con la lista completa de términos de IOC del estándar de OpenIOC.
DESCARGAR EL ARCHIVO IOC_TERMS.XLSX
Kaspersky Endpoint Security también admite tareas de análisis de IOC independientes cuando la aplicación se utiliza como parte de la solución Kaspersky Sandbox.
Creación de archivo de IOC
A partir de Kaspersky Endpoint Security 12.10 para Windows, puede crear archivos de IOC directamente en la configuración de la tarea. Para crear un archivo de IOC, debe preparar un archivo TXT con una lista de indicadores de compromiso. Puede añadir listas de los siguientes objetos como indicadores de compromiso:
La aplicación prepara un archivo de IOC con una cobertura de análisis FileItem/Md5sum o FileItem/Sha256sum.
La aplicación prepara un archivo de IOC con una cobertura de análisis PortItem/RemoteIP.
La aplicación prepara un archivo de IOC con una cobertura de análisis DnsEntryItem/RecordName.
Cómo crear un archivo de IOC en Web Console
Crear una tarea Análisis de IOC
Puede crear tareas de Análisis de IOC manualmente:
Detalles de la alerta es una herramienta para ver toda la información recolectada sobre una amenaza detectada. Detalles de la alerta incluye, por ejemplo, el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de los detalles de la alerta, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum y la Ayuda de Kaspersky Endpoint Detection and Response Expert.
Puede configurar la tarea para EDR Optimum en Web Console y Cloud Console. La configuración de la tarea para EDR Expert está disponible solo en Cloud Console.
Para crear una tarea Análisis de IOC:
Se abre la lista de tareas.
El Asistente de tareas comienza.
De forma predeterminada, Kaspersky Endpoint Security inicia la tarea como la cuenta de usuario del sistema (SYSTEM).
La cuenta del sistema (SYSTEM) no tiene permiso para ejecutar la tarea de Análisis de IOC en las unidades de red. Si desea ejecutar la tarea para una unidad de red, seleccione la cuenta de un usuario que tenga acceso a esa unidad.
Para ejecutar tareas de análisis de IOC independientes en unidades de red, debe elegir manualmente la cuenta de usuario que tiene acceso a esa unidad en las propiedades de la tarea.
La nueva tarea aparecerá en la lista de tareas.
Se abre la ventana propiedades de la tarea.
Después de cargar los archivos de IOC, la aplicación muestra información resumida sobre el archivo, incluida la lista de indicadores que no pasaron la comprobación. Después de cargar archivos de IOC, puede editar manualmente los archivos en el editor integrado directamente en las propiedades de la tarea. Kaspersky Endpoint Security admite la edición de archivos de IOC que cumplen con el estándar OpenIOC 1.1. No es posible editar archivos OpenIOC 1.0.
Kaspersky Endpoint Security añade archivos de IOC a la colección de IOC. Si es necesario, puede excluir temporalmente los archivos de IOC de la cobertura de la tarea.
No se recomienda añadir ni eliminar archivos IOC después de ejecutar la tarea. Esto puede hacer que los resultados del análisis de IOC se muestren incorrectamente para ejecuciones anteriores de la tarea. Para buscar indicadores de compromiso por nuevos archivos IOC, se recomienda añadir nuevas tareas.
Si esta casilla de verificación está desactivada, puede aislar el equipo de la red después de ejecutar la tarea manualmente. Si la tarea Análisis de IOC detecta un IOC, puede aislar el equipo de la red directamente desde el IOC (propiedades de la tarea Análisis de IOC → Configuración de la aplicación → Resultados del Análisis de IOC). Kaspersky Endpoint Security también permite administrar de inmediato configuraciones adicionales: período de desactivación del aislamiento de la red y exclusiones del aislamiento de la red.
Si esta casilla de verificación está desactivada, puede poner en cuarentena el archivo manualmente después de ejecutar la tarea manualmente. Si la tarea Análisis de IOC detecta un archivo que puede poner en peligro los datos, puede poner en cuarentena este archivo directamente desde los resultados del análisis de IOC (Configuración de la aplicación → Resultados del Análisis de IOC). Como resultado, Kaspersky Endpoint Security inicia el asistente de creación de tareas con datos preestablecidos del archivo detectado. Solo necesita administrar la configuración de tareas adicional; por ejemplo, configurar la programación de tareas.
Kaspersky Endpoint Security selecciona tipos de datos (documentos de IOC) de manera automática para la tarea Análisis de IOC de acuerdo con el contenido de los archivos de IOC cargados. No se recomienda deseleccionar tipos de datos.
También puede configurar coberturas de análisis para los siguientes tipos de datos:
De forma predeterminada, Kaspersky Endpoint Security analiza en busca de IOC solo en áreas importantes del equipo, como la carpeta de Descargas, el escritorio, la carpeta de archivos temporales del sistema operativo, etc. También puede añadir la cobertura del análisis de forma manual.
De forma predeterminada, Kaspersky Endpoint Security analiza un grupo de claves de registro.
Wake-on-LAN no está disponible para esta tarea. Asegúrese de que el equipo esté encendido para ejecutar la tarea.
Como resultado, Kaspersky Endpoint Security ejecuta la búsqueda de indicadores de compromiso en el equipo. Puede ver los resultados de la tarea en las propiedades de la tarea, dentro de la sección Resultados. Puede ver la información acerca de los indicadores de compromiso detectados en las propiedades de la tarea: Configuración de la aplicación → Resultados del Análisis de IOC. En los resultados del análisis de IOC, también puede poner en cuarentena el archivo detectado o aislar el equipo de la red.
Los resultados del análisis de IOC se conservan durante 30 días. Después de dicho período, Kaspersky Endpoint Security elimina automáticamente las entradas más antiguas.
Inicio de página