Настройка параметров поиска IOC

При настройке регулярной проверки устройств на наличие угроз можно задать следующие параметры: расписание, область и автоматические действия по реагированию.

Чтобы настроить параметры поиска IOC, выполните следующие действия:

  1. Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
  2. Выберите раздел Управление безопасностьюEndpoint Detection and Response.
  3. Нажмите кнопку Поиск IOC.
  4. Рядом с требуемым типом поиска наведите указатель на три точки по вертикали и выберите пункт Настроить параметры проверки.

    Откроется окно Параметры проверки.

  5. В списке Расписание выберите требуемое значение:
    • Не указано (по умолчанию)

      Поиск IOC не ведется.

    • Каждый день

      Укажите время запуска поиска IOC.

    • Каждую неделю

      Укажите день недели и время запуска поиска IOC.

    Пользовательский поиск будет проводиться в указанное время в часовом поясе UTC±00:00. Превентивный поиск и Реактивный поиск будут запускаться в указанное время в часовом поясе операционной системы устройства. Если защищаемое устройство не подключено к сети в указанное время, задача будет запущена, как только устройство подключится к сети.

  6. В разделе Область проверки перейдите по ссылке Редактировать и укажите список устройств, на которых будет выполняться поиск индикаторов компрометации.

    Установите флажки рядом с устройствами, которые нужно добавить, и снимите флажки рядом с устройствами, которые нужно исключить. Нажмите Сохранить, чтобы сохранить изменения.

    Этот параметр доступен только для проверки с типом Пользовательский поиск. Областью действия для других типов поиска (Превентивный поиск и Реактивный поиск) являются все устройства пользователей на базе Windows, macOS и Linux. Ее нельзя изменить.

    Все новые устройства, добавляемые в дальнейшем, будут автоматически включены в область проверки. Поэтому их можно исключить из области пользовательской проверки только вручную.

  7. В разделе Меры реагирования выберите действия, которые будут выполняться при обнаружении указанных угроз:
    • Только обнаруживать

      Событие обнаружения угрозы добавляется в журнал событий. Никаких других действий не выполняется.

    • Обнаруживать и уведомлять

      Событие обнаружения угрозы добавляется в журнал событий. Дополнительно выполняются выбранные действия по реагированию:

      • Запустить проверку важных областей

        Программа безопасности проверяет память ядра, запущенные процессы и загрузочные сектора диска затронутого устройства.

      • Поместить копию объекта в карантин и удалить объект

        Программа безопасности сначала создает резервную копию вредоносного объекта, обнаруженного на устройстве, на случай, если впоследствии объект потребуется восстановить. Резервная копия перемещается в карантин. Затем программа безопасности удаляет объект.

      • Изолировать устройство от сети

        Программа безопасности изолирует устройство от сети, чтобы предотвратить распространение угрозы или утечку конфиденциальной информации. Чтобы настроить продолжительность изоляции, нажмите на кнопку Параметры и выберите необходимое значение.

        Длительность изоляции является общей для всех трех типов поиска индикаторов компрометации. При изменении значения в параметрах одного типа поиска, оно распространится на остальные.
        В качестве альтернативы можно настроить продолжительность изоляции, выбрав раздел Управление безопасностьюEndpoint Detection and Response, а затем выбрав Параметры реагированияСетевая изоляция.

        Вы не сможете отменить сетевую изоляцию устройства на базе macOS или Linux с настроенным прокси-сервером в соответствующем дистрибутиве до истечения указанного срока изоляции на устройствах.

  8. Нажмите Сохранить, чтобы сохранить изменения.

Параметры выбранного поиска IOC настроены.

В начало