Verificar os indicadores de comprometimento (tarefa padrão)

Um Indicador de compromisso (IOC) é um conjunto de dados sobre um objeto ou atividade que indica acesso não autorizado ao computador (comprometimento de dados). Por exemplo, muitas tentativas malsucedidas de entrar no sistema podem constituir um indicador de compromisso. A Verificação de IOC tarefa permite localizar indicadores de comprometimento no computador e tomar as medidas de resposta a ameaças.

O Kaspersky Endpoint Security procura indicadores de comprometimento usando arquivos IOC. Arquivos IOC são arquivos contendo os conjuntos de indicadores que o aplicativo tenta combinar para contar uma detecção. Os arquivos IOC devem estar em conformidade com o padrão OpenIOC.

Modo de execução de tarefa de Verificação de IOC

O Kaspersky Endpoint Detection and Response permite criar tarefas padrão de verificação de IOC para detectar dados comprometidos. Tarefa de verificação de IOC padrão é um grupo ou tarefa local criado e configurado manualmente no Web Console. As tarefas são executadas usando arquivos IOC preparados pelo usuário. Caso queira adicionar um indicador de comprometimento manualmente, leia os requisitos para arquivos IOC.

O arquivo que pode ser baixado clicando no link abaixo contém uma tabela com a lista completa dos termos de IOC do padrão OpenIOC.

DOWNLOAD DO ARQUIVO IOC TERMS.XLSX

O Kaspersky Endpoint Security também tem suporte para tarefas de verificação de IOC autônomas quando o aplicativo é usado como parte da solução Kaspersky Sandbox.

Criar arquivo IOC

A partir da versão 12.10 do Kaspersky Endpoint Security for Windows, é possível criar arquivos IOC diretamente nas configurações da tarefa. Para criar um arquivo IOC, você deve preparar um arquivo TXT com uma lista de indicadores de comprometimento. Você pode adicionar listas dos seguintes objetos como indicadores de comprometimento:

• Hashes de arquivo (MD5 / SHA256).

  O aplicativo prepara um arquivo IOC com um escopo de verificação FileItem/Md5sum ou FileItem/Sha256sum.

• Endereços IP (IPv4, IPv6).

  O aplicativo prepara um arquivo IOC com um escopo de verificação PortItem/RemoteIP.

• Nomes DNS.

  O aplicativo prepara um arquivo IOC com um escopo de verificação DnsEntryItem/RecordName.

Como criar um arquivo IOC no Web Console

Como criar uma tarefa de Verificação de IOC

É possível criar tarefas de Verificação de IOC manualmente:

• Em detalhes de alertas (somente para EDR Optimum).

  Detalhes de alertas é uma ferramenta para visualizar todas as informações coletadas sobre uma ameaça detectada. Os detalhes da alertas incluem, por exemplo, o histórico de arquivos aparentes no computador. Para obter detalhes sobre o gerenciamento dos detalhes de alertas, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum e a Ajuda do Kaspersky Endpoint Detection and Response Expert.

• Uso do assistente de tarefa.

É possível configurar a tarefa para o EDR Optimum no Web Console e Cloud Console. As configurações da tarefa para EDR Expert estão disponíveis somente no Cloud Console.

Para criar uma tarefa de Verificação de IOC:

1. Na janela principal do Web Console, selecione Ativos (dispositivos) → Tarefas.

   A lista de tarefas é aberta.

2. Clique Adicionar.

   O Assistente de Tarefas é iniciado.

3. Defina as configurações da tarefa:
   1. Na lista suspensa Aplicativo, selecione Kaspersky Endpoint Security for Windows (12.10.0).
   2. Na lista suspensa Tipo de tarefa, selecione Verificação de IOC.
   3. No campo Nome da tarefa, insira uma breve descrição.
   4. No bloco Dispositivos aos quais a tarefa será atribuída, selecione o escopo da tarefa.
4. Selecione os dispositivos de acordo com a opção de escopo da tarefa selecionada. Vá para a próxima etapa.
5. Insira as credenciais da conta do usuário cujos direitos deseja usar para executar a tarefa. Vá para a próxima etapa.

   Por padrão, o Kaspersky Endpoint Security inicia a tarefa como a conta de usuário do sistema (SISTEMA).

   A conta do sistema (SYSTEM) não tem permissão para executar a tarefa Verificação de IOC nas unidades de rede. Caso queira executar a tarefa para uma unidade de rede, selecione a conta de um usuário que tem acesso a essa unidade.

   Para tarefas de Verificação de IOC autônomas em unidades de rede, é necessário selecionar manualmente a conta de usuário com acesso a esta unidade nas propriedades da tarefa.

6. Sair do assistente.

   Uma nova tarefa será exibida na lista de tarefas.

7. Clique na Nova Tarefa.

   A janela de propriedades da tarefa é exibida.

8. Selecione a guia Configurações do aplicativo.
9. Ir para a seção Configurações de verificação de IOC.
10. Carregue os arquivos IOC para pesquisar os indicadores de comprometimento.

    Depois de carregar os arquivos IOC, o aplicativo exibe informações resumidas sobre ele, incluindo a lista de indicadores que não foram aprovados na verificação. Depois de carregar os arquivos IOC, é possível fazer a edição manual deles no editor integrado, diretamente nas propriedades da tarefa. O Kaspersky Endpoint Security oferece suporte para a edição de arquivos IOC compatíveis com o padrão OpenIOC 1.1. A edição de arquivos OpenIOC 1.0 não é possível.

    O Kaspersky Endpoint Security adiciona arquivos IOC à coleção IOC. Se necessário, é possível fazer a exclusão temporária dos arquivos IOC do escopo da tarefa.

    Adicionar ou remover arquivos IOC após a execução da tarefa não é recomendado. Isso pode fazer com que os resultados da verificação de IOC sejam exibidos incorretamente para execuções anteriores da tarefa. Para pesquisar os indicadores de comprometimento por novos arquivos IOC, é recomendável adicionar novas tarefas.

11. Configure ações ao detectar IOC:
    • Isolar o computador da rede. Caso a opção seja selecionada, o Kaspersky Endpoint Security isola o computador da rede para evitar que a ameaça se espalhe. É possível configurar a duração do isolamento no componente de configurações do Endpoint Detection and Response.

      Se esta caixa de seleção estiver desmarcada, você poderá isolar o computador da rede depois de executar a tarefa manualmente. Se a tarefa Verificação de IOC detectar um IOC, você poderá isolar o computador da rede diretamente do IOC (propriedades da tarefa Verificação de IOC → Configurações do aplicativo → Resultados da verificação de IOC). O Kaspersky Endpoint Security também permite o gerenciamento imediato de configurações adicionais: Período de desativação do Isolamento de rede e Exclusões de isolamento de rede.

    • Mover cópia para a Quarentena, excluir objeto. Caso a opção seja selecionada, o Kaspersky Endpoint Security exclui o objeto malicioso encontrado no computador. Antes de excluir o objeto, o Kaspersky Endpoint Security cria uma cópia de backup, caso o objeto precise ser restaurado posteriormente. O Kaspersky Endpoint Security move a cópia de backup para a quarentena.

      Se esta caixa de seleção estiver desmarcada, você poderá colocar o arquivo em quarentena manualmente depois de você mesmo ter executado a tarefa. Se a tarefa Verificação de IOC detectar um arquivo que pode comprometer os dados, você pode colocar esse arquivo em quarentena diretamente, a partir dos resultados da Verificação de IOC (Configurações do aplicativo → Resultados da verificação de IOC). Como resultado disso, o Kaspersky Endpoint Security iniciará o assistente de criação de tarefas com dados predefinidos do arquivo detectado. Você só precisará gerenciar configurações de tarefa adicionais, como configurar o agendamento da tarefa, por exemplo.

    • Executar a Verificação de áreas críticas. Caso essa opção seja selecionada, o Kaspersky Endpoint Security executa a tarefa Verificação de áreas críticas. Por padrão, o Kaspersky Endpoint Security verifica a memória kernel, os processos de execução e os setores de inicialização de disco.
12. Ir para a seção Avançado.
13. Selecione os tipos de dados (documentos IOC) que devem ser analisados como parte da tarefa.

    O Kaspersky Endpoint Security seleciona automaticamente os tipos de dados (documentos IOC) para a tarefa de Verificação de IOC de acordo com o conteúdo dos arquivos IOC carregados. Não é recomendado remover a seleção dos tipos de dados.

    Ainda é possível configurar escopos da verificação para os seguintes tipos de dados:

    • Arquivos – FileItem. Defina o escopo da verificação de IOC no computador utilizando escopos predefinidos.

      Por padrão, o Kaspersky Endpoint Security verifica IOCs somente em áreas importantes do computador, como a pasta Downloads, a área de trabalho, a pasta com arquivos temporários do sistema operacional etc. Também é possível adicionar o escopo da verificação manualmente.

    • Logs de eventos do Windows - EventLogItem. Insira o período de tempo referente a quando os eventos foram registrados. Também é possível selecionar quais dos logs de eventos do Windows devem ser usados para verificação IOC. Por padrão, os seguintes logos de evento são selecionados: log de eventos do aplicativo, log de eventos do sistema, log de eventos de segurança.
    • Registro do Windows - RegistryItem. Configure o escopo da Verificação de IOC no registro.

      Por padrão, o Kaspersky Endpoint Security verifica um conjunto de chaves do registro.

14. Na janela de propriedades da tarefa, selecione a guia Agendamento.
15. Configure a tarefa de verificação.

    Wake-on-LAN não está disponível para esta tarefa. Certifique-se de que o computador está ligado para executar a tarefa.

16. Salvar alterações.
17. Marque a caixa de seleção ao lado da tarefa.
18. Clique Iniciar.

Como resultado, o Kaspersky Endpoint Security executa a pesquisa de indicadores de comprometimento do computador. É possível visualizar os resultados da tarefa, nas propriedades da tarefa, na seção Resultados. É possível visualizar as informações sobre os indicadores de compromisso detectados nas propriedades da tarefa: Configurações do aplicativo → Resultados da verificação de IOC. Nos resultados da Verificação de IOC, você também poderá colocar em quarentena o arquivo detectado ou isolar o computador da rede manualmente.

Os resultados da verificação de IOC são mantidos por 30 dias. Após esse período, o Kaspersky Endpoint Security exclui as entradas mais antigas automaticamente.

Início da página