Scannen op indicatoren van compromis (standaard taak)

Een Indicator of Compromise (IOC) is een set gegevens over een object of activiteit die wijst op onbevoegde toegang tot de computer (compromittering van gegevens). Vele mislukte aanmeldingen bij het systeem kunnen bijvoorbeeld een Indicator of Compromise zijn. Met de IOC-scan-taak kunnen Indicators of Compromise op de computer worden gevonden en maatregelen als respons op deze dreiging worden genomen.

Kaspersky Endpoint Security zoekt Indicators of Compromise met behulp van IOC-bestanden. IOC-bestanden zijn bestanden die de verzameling indicatoren bevatten aan de hand waarvan het programma op zoek gaat naar hits die kunnen duiden op een dreiging. IOC-bestanden moet voldoen aan de OpenIOC-norm.

IOC-scan -taak uitvoeren-modus

Met Kaspersky Endpoint Detection and Response kunt u standaard IOC-scantaken creëren om gegevens te detecteren. De standaard IOC-scantaak is een groepstaak of lokale taak die handmatig is gemaakt en geconfigureerd in de Webconsole. De taken worden uitgevoerd met IOC-bestanden die door de gebruiker zijn voorbereid. Als u handmatig een indicator van een compromis wilt toevoegen, leest u de vereisten voor IOC-bestanden.

Het bestand dat u kunt downloaden door op de onderstaande koppeling te klikken, bevat een tabel met de volledige lijst met IOC-voorwaarden van de OpenIOC-norm.

IOC_TERMS.XLSX DOWNLOADEN

Kaspersky Endpoint Security ondersteunt ook alleenstaande IOC-scantasken wanneer het programma gebruikt wordt als onderdeel van de oplossing Kaspersky Sandbox.

IOC-bestand maken

Vanaf Kaspersky Endpoint Security 12.10 voor Windows kunt u IOC-bestanden rechtstreeks in de taakinstellingen maken. Om een IOC-bestand te maken, moet u een TXT-bestand voorbereiden met een lijst met Indicator of Compromise. U kunt lijsten met de volgende objecten toevoegen als indicatoren voor een compromis:

• Bestandshashes (MD5 / SHA256).

  Het programma bereidt een IOC-bestand voor met een FileItem/Md5sum of FileItem/Sha256sum scanbereik.

• IP-adressen (IPv4, IPv6).

  Het programma bereidt een IOC-bestand voor met een PortItem/RemoteIP scanbereik.

• DNS-namen.

  Het programma bereidt een IOC-bestand voor met een DnsEntryItem/RecordName scanbereik.

IOC-bestand maken in de Webconsole

Een IOC-scan-taak maken

U kunt IOC-scan taken handmatig maken:

• Details in waarschuwing (alleen voor EDR Optimum).

  Detectiegegevens zijn een hulpmiddel waar alle verzamelde informatie over een gedetecteerde dreiging zichtbaar is. Deze detectiegegevens bevatten bijvoorbeeld de geschiedenis van bestanden die op de computer terechtkomen. Voor details over het beheren van detectiegegevens, raadpleegt u de Help van Kaspersky Endpoint Detection and Response Optimum en de Help van Kaspersky Endpoint Detection and Response Expert.

• Met de taakwizard.

U kunt de taak configureren voor EDR Optimum in Webconsole en Cloud Console. Taakinstellingen voor EDR Expert zijn alleen beschikbaar in Cloud Console.

Een taak IOC-scan maken:

1. Selecteer in het hoofdvenster van de webconsole achtereenvolgens Assets (Devices) → Tasks.

   De lijst met taken wordt geopend.

2. Klik op Add.

   De wizard Taak wordt gestart.

3. Configureer de taakinstellingen:
   1. Selecteer in de vervolgkeuzelijst Application de optie Kaspersky Endpoint Security for Windows 12.11.0.
   2. Selecteer in de vervolgkeuzelijst Task type de optie IOC Scan.
   3. Typ in het veld Task name een korte omschrijving.
   4. Selecteer in het gedeelte Devices to which the task will be assigned het bereik van de taak.
4. Selecteer apparaten naargelang de geselecteerde optie voor het bereik van de taak. Ga naar de volgende stap.
5. Voer de accountgegevens in van de gebruiker wiens rechten u wilt gebruiken om de taak uit te voeren. Ga naar de volgende stap.

   Standaard start Kaspersky Endpoint Security de taak met het gebruikersaccount van het systeem (SYSTEM).

   De systeemaccount (SYSTEM) heeft geen machtiging om de IOC-scan taak uit te voeren op netwerkstations. Als u de taak wilt starten voor een netwerkschijf, selecteert u het account van een gebruiker die toegang heeft tot die schijf.

   Voor zelfstandige IOC-scantaken op netwerkstations moet u in de taakeigenschappen handmatig het gebruikersaccount selecteren dat toegang heeft tot dit station.

6. Verlaat de wizard verlaten.

   U ziet een nieuwe taak in de lijst met taken.

7. Klik op de nieuwe taak.

   U ziet nu het venster met de taakeigenschappen.

8. Selecteer het tabblad Application settings.
9. Ga naar het gedeelte IOC Scan settings.
10. Upload de IOC-bestanden om Indicators of Compromise te zoeken.

    Nadat u de IOC-bestanden hebt geüpload, toont het programma beknopte informatie over het bestand, inclusief de lijst met indicatoren die de controle niet hebben doorstaan. Na het uploaden van IOC-bestanden kunt u de bestanden handmatig bewerken in de ingebouwde editor, rechtstreeks in de taakeigenschappen. Kaspersky Endpoint Security ondersteunt de bewerking van IOC-bestanden die voldoen aan de OpenIOC 1.1-standaard. Het bewerken van OpenIOC 1.0-bestanden is niet mogelijk.

    Kaspersky Endpoint Security voegt IOC-bestanden toe aan de IOC-verzameling. Indien nodig kunt u IOC-bestanden tijdelijk uitsluiten van het taakbereik.

    Het toevoegen of verwijderen van IOC-bestanden nadat de taak is uitgevoerd, wordt niet aanbevolen. Dit kan ertoe leiden dat de IOC-scanresultaten onjuist worden weergegeven voor eerdere uitvoeringen van de taak. Om indicatoren van compromis door nieuwe IOC-bestanden te zoeken, wordt aanbevolen om nieuwe taken toe te voegen.

11. Configureer acties bij de detectie van IOC's:
    • Isolate computer from the network. Als deze optie is geselecteerd, isoleert Kaspersky Endpoint Security de computer van het netwerk zodat de dreiging zich niet kan verspreiden. U kunt in de instellingen van het onderdeel Endpoint Detection and Response de duur van de isolatie configureren.

      Als dit selectievakje is uitgeschakeld, kunt u de computer van het netwerk isoleren nadat u de taak handmatig hebt uitgevoerd. Als de IOC-scantaak een IOC detecteert, kunt u de computer rechtstreeks van het netwerk isoleren van het IOC (eigenschappen van de taak IOC-scan → Application settings → IOC Scan results). Met Kaspersky Endpoint Security kunt u ook onmiddellijk extra instellingen beheren: Uitgeschakelde periode voor netwerkisolatie en uitzonderingen voor netwerkisolatie.

    • Move copy to Quarantine, delete object. Als deze optie is geselecteerd, verwijdert Kaspersky Endpoint Security het schadelijke object dat op de computer is gevonden. Voordat het object wordt verwijderd, maakt Kaspersky Endpoint Security een back-up voor het geval dat het object later moet worden teruggezet. Kaspersky Endpoint Security plaatst de back-up in Quarantaine.

      Als dit selectievakje is uitgeschakeld, kunt u het bestand handmatig in quarantaine plaatsen nadat u de taak handmatig hebt uitgevoerd. Als de IOC-scantaak een bestand detecteert dat gegevens kan compromitteren, kunt u dit bestand rechtstreeks vanuit IOC Scan-resultaten in quarantaine plaatsen (Application settings → IOC Scan results). Als gevolg hiervan start Kaspersky Endpoint Security de wizard voor het maken van taken met vooraf ingestelde gegevens van het gedetecteerde bestand. U hoeft alleen extra taakinstellingen te beheren, zoals het instellen van de taakplanning.

    • Run Critical Areas Scan. On threat detection. Als deze optie is geselecteerd, start Kaspersky Endpoint Security de taak Kritieke Gebiedenscan. Standaard scant Kaspersky Endpoint Security het kernelgeheugen, actieve processen en de opstartsectoren van de schijf.
12. Ga naar het gedeelte Advanced.
13. Selecteer gegevenstypen (IOC-documenten) die als onderdeel van de taak moeten worden geanalyseerd.

    Kaspersky Endpoint Security selecteert automatisch gegevenstypen (IOC-documenten) voor de IOC-scan-taak op basis van de inhoud van geladen IOC-bestanden. Gegevenstypen deselecteren wordt niet aanbevolen.

    U kunt aanvullende scanbereiken voor de volgende gegevenstypen configureren:

    • Files - FileItem. Stel een IOC-scanbereik op de computer in met vooraf ingestelde bereiken.

      Kaspersky Endpoint Security scant standaard alleen op IOC's in belangrijke delen van de computer, zoals de map Downloads, het bureaublad, de map met tijdelijke besturingssysteembestanden, enz. U kunt het scanbereik ook handmatig toevoegen.

    • Windows event logs - EventLogItem. Voer de periode in wanneer de gebeurtenissen zijn geregistreerd. U kunt ook selecteren welke Windows-gebeurtenislogboeken moeten worden gebruikt voor IOC-scannen. Standaard worden de volgende gebeurtenislogboeken geselecteerd: programmagebeurtenislogboek, systeemgebeurtenislogboek en beveiligingsgebeurtenislogboek.
    • Windows registry - RegistryItem. Configureer het bereik van de IOC-scan in het register.

      Kaspersky Endpoint Security scant standaard een set registersleutels.

14. Selecteer het tabblad Schedule in het venster met taakeigenschappen.
15. Configureer het taakschema.

    Wake-on-LAN is niet beschikbaar voor deze taak. Zorg ervoor dat de computer is ingeschakeld om de taak uit te voeren.

16. Sla uw wijzigingen op.
17. Schakel het selectievakje naast de taak in.
18. Klik op Start.

Kaspersky Endpoint Security begint nu te zoeken naar Indicators of Compromise op de computer. U kunt de resultaten van de taak bekijken in de taakeigenschappen in het gedeelte Results. U kunt informatie over gedetecteerde Indicators of Compromise bekijken in de taakeigenschappen: Application settings → IOC Scan results. In de resultaten van IOC-scan kunt u ook handmatig het gedetecteerde bestand in quarantaine plaatsen of isoleer de computer van het netwerk.

De resultaten van een IOC-scan worden 30 dagen bewaard. Na die tijd worden de oudste gegevens automatisch verwijderd door Kaspersky Endpoint Security.

Naar boven