Analizar en busca de indicadores de compromiso (tarea independiente)

Un Indicador de compromiso (IOC) es un conjunto de datos sobre un objeto o una actividad que indica acceso no autorizado al equipo (compromiso de datos). Por ejemplo, muchos intentos fallidos de iniciar sesión en el sistema pueden constituir un indicador de compromiso. La tarea Análisis de IOC permite encontrar indicadores de compromiso en el equipo y tomar medidas de respuesta ante amenazas.

Kaspersky Endpoint Security busca indicadores de compromiso mediante el uso de archivos de IOC. Los Archivos de IOC son archivos que contienen los conjuntos de indicadores que la aplicación intenta hacer coincidir para contar una detección. Los archivos de IOC deben cumplir con el estándar OpenIOC. Kaspersky Endpoint Security genera automáticamente archivos de IOC para Kaspersky Sandbox.

Modo de ejecución de la tarea de Análisis de IOC

La aplicación crea tareas de análisis de IOC independientes para Kaspersky Sandbox. Tarea de Análisis de IOC independiente es una tarea de grupo que se crea automáticamente al reaccionar a una amenaza detectada por Kaspersky Sandbox. Kaspersky Endpoint Security genera automáticamente el archivo de IOC. No se admiten archivos de IOC personalizados. Las tareas se eliminan automáticamente 30 días después de la hora de creación. Para obtener más información sobre las tareas de Análisis de IOC independientes, consulte la Ayuda de Kaspersky Sandbox.

Configuración de la tarea Análisis de IOC

Kaspersky Sandbox puede crear y ejecutar tareas de Análisis de IOC de forma automática cuando reacciona a amenazas.

Puede ajustar la configuración solo en Web Console.

Debe contar con Kaspersky Security Center 13.2 para que las tareas de análisis de IOC independientes de Kaspersky Sandbox funcionen.

Para cambiar la configuración de la tarea Análisis de IOC:

  1. En la ventana principal de Web Console, seleccione DispositivosTareas.

    Se abre la lista de tareas.

  2. Seleccione la tarea Análisis de IOC de Kaspersky Endpoint Security.

    Se abre la ventana de propiedades de la tarea.

  3. Seleccione la ficha Configuración de la aplicación.
  4. Vaya a la sección Configuración de análisis de IOC.
  5. Configure las acciones al detectar un IOC:
    • Mover la copia a la Cuarentena, eliminar objeto. Si esta opción está seleccionada, Kaspersky Endpoint Security elimina el objeto malicioso que se encuentra en el equipo. Antes de eliminar el objeto, Kaspersky Endpoint Security crea una copia de seguridad en caso de que sea necesario restaurar el objeto más adelante. Kaspersky Endpoint Security mueve la copia de seguridad a Cuarentena.
    • Ejecutar el análisis de las áreas críticas. Si esta opción está seleccionada, Kaspersky Endpoint Security ejecuta la tarea Análisis de áreas críticas. De forma predeterminada, Kaspersky Endpoint Security analiza la memoria del kernel, los procesos en ejecución y los sectores de inicio del disco.
  6. Use la casilla de verificación Ejecutar solo cuando el equipo esté inactivo para configurar el modo de ejecución de la tarea de análisis de IOC. Si habilita la casilla, la tarea Análisis de IOC se suspenderá cuando los recursos del equipo sean limitados. Kaspersky Endpoint Security pondrá la tarea Análisis de IOC en pausa si el protector de pantalla está desactivado y el equipo está desbloqueado.

    Esta opción de programación le permite conservar los recursos del equipo cuando el equipo está en uso.

  7. Guarde los cambios.

Puede ver los resultados de la tarea en las propiedades de la tarea en la sección Resultados. Puede ver la información sobre los indicadores de compromiso detectados en las propiedades de la tarea: Configuración de la aplicaciónResultados del análisis de IOC.

Los resultados del análisis de IOC se mantienen durante 30 días. Después de ese plazo, Kaspersky Endpoint Security elimina automáticamente las entradas más antiguas.

Inicio de página