セキュリティ侵害インジケーター(IOC)とは、コンピューターへの認証されないアクセス(コンピューターの侵害)の痕跡を示すオブジェクトまたは活動に関する一連のデータです。たとえば、システムへのログインを複数回失敗すると、セキュリティ侵害インジケーターの構成要素となります。IOC スキャンタスクは、コンピューターのセキュリティ侵害インジケーターを検索し、脅威への対応方法を確立するのに役立ちます。
Kaspersky Endpoint Security は IOC ファイルを使用して侵害インジケーターを検索します。IOC ファイルは、本製品が検知の判断時に一致させる一連のインジケーターを含むファイルです。IOC ファイルは OpenIOC 標準に準拠している必要があります。
IOC スキャンタスクの実行モード
Kaspersky Endpoint Detection and Response を使用して、侵害されたデータを検知する標準の IOC スキャンタスクを作成できます。標準の IOC スキャンタスクは Web コンソールで手動で作成および設定されたタスクまたはタスクのグループを意味します。タスクは、ユーザーが準備した IOC ファイルを使用して実行されます。手動で侵害インジケーターを追加する場合は、IOC ファイルの要件を参照してください。
以下のリンクをクリックしてダウンロードできるファイルには、すべての OpenIOC 標準の IOC タームの一覧が含まれています。
こちらのリンクから IOC_TERMS.XLSX ファイルをダウンロードできます
Kaspersky Endpoint Security は、本製品が Kaspersky Sandbox ソリューションの一部として使用されている場合はスタンドアロンの IOC スキャンタスクをサポートします。
IOC スキャンタスクの作成
IOC スキャンタスクは、手動で作成することができます:
アラートの詳細(Alert details)は、収集済みの検知した脅威に関する情報を全体的に表示するツールです。アラートの詳細には、コンピューター上に表示されるファイルの履歴が含まれます。アラートの詳細の管理について詳しくは、Kaspersky Endpoint Detection and Response Optimum のヘルプおよび Kaspersky Endpoint Detection and Response Expert のヘルプを参照してください。
EDR Optimum のタスクは、Web コンソールおよび Cloud コンソールで設定できます。EDR Expert のタスク設定は Cloud コンソールのみで使用可能です。
[IOC スキャン]タスクを作成するには:
タスクのリストが表示されます。
タスクウィザードが起動します。
既定では、Kaspersky Endpoint Security はタスクをシステムユーザーアカウント(SYSTEM)として開始します。
システムアカウント(SYSTEM)にはネットワークドライブの IOC スキャンタスクを実行する権限がありません。ネットワークドライブに対してタスクを実行する場合に、そのドライブにアクセス権のあるユーザーアカウントを選択してください。
ネットワークドライブのスタンドアロンの IOC スキャンタスクには、タスクのプロパティで、そのドライブにアクセス権のあるユーザーアカウントを手動で選択する必要があります。
タスクのリストに新しいタスクが表示されます。
タスクのプロパティウィンドウが表示されます。
IOC ファイルの読み込み後、IOC ファイルのインジケーターのリストが表示できます。
タスク実行後の IOC ファイルの追加または削除は推奨されません。前回実行された IOC スキャン結果が正しく表示されないことがあります。IOC ファイルの侵害インジケーターを検索するには、新しいタスクを追加するようにしてください。
Kaspersky Endpoint Security は、読み込まれた IOC ファイルの内容に従って IOC スキャンタスク用のデータ種別(IOC ドキュメント)を自動で選択します。選択されたデータ種別の選択解除は推奨されません。
次のデータ種別に対してスキャン範囲を追加で設定できます:
既定では、Kaspersky Endpoint Security はコンピューターの重要な領域(ダウンロードフォルダー、デスクトップ、一時的なオペレーティングシステムのファイルがあるフォルダーなど)のみの IOC をスキャンします。スキャン範囲を手動で追加することもできます。
Kaspersky Endpoint Security はデータ種別Windows レジストリ - RegistryItem:に対しては、レジストリキー一式をスキャンします。
このタスクでは Wake-on-LAN は使用できません。コンピューターの電源がオンになっていて、タスクを実行できることを確認してください。
Kaspersky Endpoint Security はコンピューター上にある侵害インジケーターの検索を実行します。[結果]のタスクのプロパティでタスクの結果を確認できます。[アプリケーション設定]→[IOC スキャン結果]の順に選択して、タスクのプロパティで侵害インジケーターに関する情報を表示することができます。
IOC スキャン結果は 30 日間保持されます。この期間を経過すると、Kaspersky Endpoint Security は最も古いデータを自動的に削除します。
ページのトップに戻る