Scansione degli indicatori di compromissione (attività standard)

Un indicatore di compromissione (IOC) è una serie di dati su un oggetto o un'attività che indica un accesso non autorizzato al computer (compromissione dei dati). Ad esempio, molti tentativi non riusciti di accesso al sistema possono costituire un indicatore di compromissione. L'attività Scansione IOC consente di trovare indicatori di compromissione sul computer e di adottare misure di risposta alle minacce.

Kaspersky Endpoint Security ricerca gli indicatori di compromissione utilizzando i file IOC. I file IOC sono file che contengono le serie di indicatori che l'applicazione tenta di abbinare per eseguire un rilevamento. I file IOC devono essere conformi allo standard OpenIOC.

Modalità di esecuzione dell'attività di scansione IOC

Kaspersky Endpoint Detection and Response consente di creare attività di scansione IOC standard per rilevare dati compromessi. Attività di scansione IOC standard è un'attività locale o di gruppo creata e configurata manualmente in Web Console. Le attività vengono eseguite utilizzando i file IOC preparati dall'utente. Se si desidera aggiungere un indicatore di compromissione manualmente, leggere i requisiti dei file IOC.

Il file che è possibile scaricare facendo clic sul collegamento sottostante contiene una tabella con l'elenco completo dei termini IOC dello standard OpenIOC.

DOWNLOAD DEL FILE IOC_TERMS.XLSX

Kaspersky Endpoint Security supporta anche le attività di scansione IOC standalone quando l'applicazione viene utilizzata come parte della soluzione Kaspersky Sandbox.

Creazione di un'attività di scansione IOC

È possibile creare attività Scansione IOC manualmente:

È possibile configurare l'attività per EDR Optimum in Web Console e Cloud Console. Le impostazioni dell'attività per EDR Expert sono disponibili solo in Cloud Console.

Per creare un'attività Scansione IOC:

  1. Nella finestra principale di Web Console, selezionare DispositiviAttività.

    Viene aperto l'elenco delle attività.

  2. Fare clic sul pulsante Aggiungi.

    Verrà avviata la Creazione guidata attività.

  3. Configurare le impostazioni dell'attività:
    1. Nell'elenco a discesa Applicazione, selezionare Kaspersky Endpoint Security for Windows (12.2).
    2. Nell'elenco a discesa Tipo di attività selezionare Scansione IOC.
    3. Nel campo Nome attività, immettere una breve descrizione.
    4. Nel blocco Selezionare i dispositivi a cui assegnare l'attività, selezionare l'ambito dell'attività.
  4. Selezionare i dispositivi in base all'opzione dell'ambito dell'attività selezionata. Procedere con il passaggio successivo.
  5. Immettere le credenziali dell'account dell'utente di cui si desidera utilizzare i diritti per eseguire l'attività. Procedere con il passaggio successivo.

    Per impostazione predefinita, Kaspersky Endpoint Security avvia l'attività come account utente di sistema (SYSTEM).

    L'account di sistema (SYSTEM) non dispone dell'autorizzazione necessaria per eseguire l'attività Scansione IOC nelle unità di rete. Se si desidera eseguire l'attività per un'unità di rete, selezionare l'account di un utente che ha accesso a tale unità.

    Per le attività Scansione IOC standalone nelle unità di rete, nelle proprietà dell'attività è necessario selezionare manualmente l'accesso utente che ha accesso a tale unità.

  6. Chiusura della procedura guidata.

    Verrà visualizzata una nuova attività nell'elenco delle attività.

  7. Fare clic sulla nuova attività.

    Verrà visualizzata la finestra delle proprietà dell'attività.

  8. Selezionare la scheda Impostazioni applicazione.
  9. Passare alla sezione Impostazioni di scansione IOC.
  10. Caricare i file IOC per cercare gli indicatori di compromissione.

    Dopo aver caricato i file IOC, è possibile visualizzare l'elenco degli indicatori dai file IOC.

    Si sconsiglia di aggiungere o rimuovere file IOC dopo l'esecuzione dell'attività, poiché può causare la visualizzazione errata dei risultati della scansione IOC per le esecuzioni dell'attività precedenti. Per cercare indicatori di compromissione da parte di nuovi file IOC, si consiglia di aggiungere nuove attività.

  11. Configurare le azioni se viene rilevato un indicatore di compromissione:
    • Isola il computer dalla rete. Se questa opzione è selezionata, Kaspersky Endpoint Security isola il computer dalla rete per impedire la diffusione della minaccia. È possibile configurare la durata dell'isolamento nelle impostazioni del componente Endpoint Detection and Response.
    • Sposta la copia in Quarantena, elimina oggetto. Se questa opzione è selezionata, Kaspersky Endpoint Security elimina l'oggetto dannoso trovato nel computer. Prima di eliminare l'oggetto, Kaspersky Endpoint Security crea una copia di backup nel caso in cui sia necessario ripristinare l'oggetto in un secondo momento. Kaspersky Endpoint Security sposta la copia di backup in Quarantena.
    • Esegui scansione delle aree critiche. Se questa opzione è selezionata, Kaspersky Endpoint Security esegue l'attività Scansione delle aree critiche. Per impostazione predefinita, Kaspersky Endpoint Security esamina la memoria del kernel, i processi in esecuzione e i settori di avvio del disco.
  12. Passare alla sezione Avanzato.
  13. Selezionare i tipi di dati (documenti IOC) che devono essere analizzati come parte dell'attività.

    Kaspersky Endpoint Security seleziona automaticamente i tipi di dati (documenti IOC) per l'attività Scansione IOC in conformità con i contenuti dei file IOC caricati. Si sconsiglia di deselezionare i tipo di dati.

    È inoltre possibile configurare gli ambiti della scansione per i seguenti tipi di dati:

    • File - FileItem. Consente di impostare un ambito della scansione IOC nel computer in cui vengono utilizzati gli ambiti preimpostati.

      Per impostazione predefinita, Kaspersky Endpoint Security esamina gli IOC solo nelle aree importanti del computer, ad esempio la cartella Download, il desktop, la cartella con i file temporanei del sistema operativo ecc. È inoltre possibile aggiungere manualmente l'ambito della scansione.

    • Registri eventi di Windows - EventLogItem. Immettere il periodo di tempo in cui gli eventi sono stati registrati. È inoltre possibile selezionare i registri eventi di Windows da utilizzare per la scansione IOC. Per impostazione predefinita, vengono selezionati i seguenti registri eventi: registro eventi delle applicazioni, registro eventi del sistema e registro eventi della sicurezza.

    Per il tipo di dati Registro di sistema di Windows - RegistryItem, Kaspersky Endpoint Security esamina una serie di chiavi del Registro di sistema.

  14. Nella finestra delle proprietà dell'attività, selezionare la scheda Pianificazione.
  15. Configurare la pianificazione dell'attività.

    La funzionalità di riattivazione LAN non è disponibile per questa attività. Assicurarsi che il computer sia acceso per eseguire l'operazione.

  16. Salvare le modifiche.
  17. Selezionare la casella di controllo accanto all'attività.
  18. Fare clic sul pulsante Esegui.

A questo punto, Kaspersky Endpoint Security esegue la ricerca degli indicatori di compromissione sul computer. È possibile visualizzare i risultati dell'attività nelle proprietà dell'attività nelle sezione Risultati. È possibile visualizzare le informazioni sugli indicatori di compromissione rilevati nelle proprietà dell'attività: Impostazioni applicazioneRisultati scansione IOC.

I risultati della scansione IOC vengono conservati per 30 giorni. Al termine di questo periodo, Kaspersky Endpoint Security elimina automaticamente le voci meno recenti.

Inizio pagina