Support

Support für Unternehmensanwendungen

Kaspersky Endpoint Security 12 for Mac

Erweiterte Konfiguration der Anwendung

Endpoint Detection and Response Optimum

Nach Kompromittierungsindikatoren suchen

Kaspersky Endpoint Security 12 for Mac
Нет результатов
Нет результатов
Wissensdatenbank Onlinehilfe
FAQ Herunterladen Kaufen Verlängern Forum Support kontaktieren Tools zur Wiederherstellung

Nach Kompromittierungsindikatoren suchen

2. Juli 2024

ID 276091

Ein Kompromittierungsindikator (IOC) ist eine Sammlung von Informationen über ein Objekt oder eine Aktivität, die auf einen unbefugten Zugriff auf den Computer (eine Datenkompromittierung) hinweisen. Beispielsweise können viele erfolglose Anmeldeversuche am System einen Kompromittierungsindikator darstellen. Mit der Aufgabe IOC-Untersuchung können Kompromittierungsindikatoren auf dem Computer gefunden und Maßnahmen zur Reaktion auf Bedrohungen ergriffen werden.

Kaspersky Endpoint Security sucht mithilfe von IOC-Dateien nach Kompromittierungsindikatoren. IOC-Dateien sind Dateien, die Sammlung von Indikatoren enthalten, mit denen die Anwendung nach Übereinstimmungen sucht, um sie einem Fund anzurechnen. Die IOC-Dateien müssen dem OpenIOC-Standard entsprechen.

Ausführungsmodus Aufgabe zur IOC-Untersuchung

Mit Kaspersky Endpoint Detection and Response können Sie standardmäßige Aufgaben zur IOC-Untersuchung erstellen, um kompromittierte Daten zu erkennen. Eine standardmäßige Aufgabe zur IOC-Untersuchung ist eine Gruppenaufgabe oder lokale Aufgabe, die manuell in der Web Console erstellt und konfiguriert wird. Die Aufgaben verwenden während ihrer Ausführung IOC-Dateien, die vom vorher vom Benutzer vorbereitet wurden. Wenn Sie einen Kompromittierungsindikator manuell hinzufügen möchten, lesen Sie bitte die Anforderungen an IOC-Dateien.

Erstellen einer Aufgabe zur IOC-Untersuchung

Sie können IOC-Untersuchungsaufgaben manuell erstellen:

  • In den Alarmdetails (nur für EDR Optimum).

    Die Alarmdetails sind ein Tool zum Anzeigen aller gesammelten Informationen über eine erkannte Bedrohung. Zu den Alarmdetails gehört beispielsweise der Verlauf der auf dem Computer veränderten Dateien. Weitere Informationen zur Verwaltung der Alarmdetails finden Sie in der Hilfe zu Kaspersky Endpoint Detection and Response Optimum.

  • Unter Verwendung des Assistenten für die Aufgabe.

So erstellen Sie eine Aufgabe zur IOC-Untersuchung:

  1. Wählen Sie im Hauptfenster der Web Console den Punkt Geräte > Aufgaben aus.

    Die Liste mit Aufgaben wird geöffnet.

  2. Klicken Sie auf Hinzufügen.

    Der Assistent für das Erstellen einer Aufgabe wird gestartet.

  3. Passen Sie die Aufgabeneinstellungen an:
    1. Wählen Sie in der Dropdown-Liste Anwendung den Punkt Kaspersky Endpoint Security for Mac (12.1) aus.
    2. Wählen Sie in der Dropdown-Liste Aufgabentyp den Punkt IOC-Untersuchung aus.
    3. Geben Sie im Feld Aufgabenname eine kurze Beschreibung ein.
    4. Wählen Sie im Block Geräte auswählen, denen die Aufgabe zugewiesen werden soll den Aufgabenbereich aus.
  4. Wählen Sie die Geräte entsprechend des ausgewählten Gültigkeitsbereichs der Aufgabe aus.
  5. Laden Sie im Abschnitt Einstellungen der IOC-Untersuchung die IOC-Dateien, mit denen nach Kompromittierungsindikatoren gesucht werden soll.

    Nach dem Laden der IOC-Dateien können Sie die Liste der Indikatoren aus den IOC-Dateien anzeigen.

    Hinweis: Das Hinzufügen oder Entfernen von IOC-Dateien nach dem Ausführen der Aufgabe wird nicht empfohlen. Dies kann dazu führen, dass die Ergebnisse der IOC-Untersuchung für frühere Ausführungen der Aufgabe falsch angezeigt werden. Um Kompromittierungsindikatoren anhand neuer IOC-Dateien zu suchen, wird es empfohlen, neue Aufgaben hinzuzufügen.

  6. Konfiguration der Aktionen Erkennung eines IOC:
    • Computer vom Netzwerk isolieren. Wenn diese Option ausgewählt ist, trennt Kaspersky Endpoint Security den Computer vom Netzwerk, um eine Ausbreitung der Bedrohung zu verhindern. Sie können die Dauer der Isolation in den Einstellungen von Endpoint Detection and Response.
    • Kopie in Quarantäne verschieben, Objekt löschen. Wenn diese Option ausgewählt ist, löscht Kaspersky Endpoint Security das auf dem Computer gefundene schädliche Objekt. Vor dem Löschen des Objekts erstellt Kaspersky Endpoint Security eine Backup-Kopie für den Fall, dass das Objekt später wiederhergestellt werden muss. Kaspersky Endpoint Security verschiebt die Backup-Kopie in die Quarantäne.
    • Untersuchung wichtiger Bereiche ausführen. Wenn diese Option ausgewählt ist, führt Kaspersky Endpoint Security die Aufgabe "Schnelle Untersuchung" aus. Standardmäßig untersucht Kaspersky Endpoint Security den Arbeitsspeicher, die Autostart-Objekte und die Systemordner.
  7. Wechseln Sie in den Abschnitt Erweitert.
  8. Wählen Sie die Datentypen (IOC-Dokumente) aus, die im Rahmen der Aufgabe analysiert werden sollen.

    Hinweis: Kaspersky Endpoint Security wählt die Datentypen (IOC-Dokumente) für die Aufgabe zur IOC-Untersuchung automatisch aus, entsprechend dem Inhalt der geladenen IOC-Dateien. Es wird nicht empfohlen, Datentypen abzuwählen.

    Für die folgenden Datentypen können Sie zusätzliche Untersuchungsbereiche konfigurieren:

    • Dateien - FileItem
    • Benutzerkonten - UserItem
    • Hosts - SystemInfoItem
  9. Klicken Sie auf OK.
  10. Geben Sie die Anmeldedaten des Benutzers ein, mit dessen Rechten die Aufgabe ausgeführt werden soll. Klicken Sie auf Weiter.

    Hinweis: Standardmäßig startet Kaspersky Endpoint Security die Aufgabe unter dem Systembenutzerkonto (root).

  11. Klicken Sie im Schritt Erstellung der Aufgabe abschließen auf die Schaltfläche Abschließen, um die Aufgabe zu erstellen und den Assistenten zu schließen.

    Wenn Sie die Option Nach Abschluss der Erstellung Aufgabendetails öffnen aktiviert haben, wird das Fenster mit den Aufgabeneinstellungen geöffnet. In diesem Fenster können Sie bei Bedarf die Aufgabenparameter überprüfen und ändern oder einen Startzeitplan für die Aufgabe festlegen.

  12. Klicken Sie auf die neue Aufgabe.

    Das Fenster mit den Aufgabeneigenschaften wird geöffnet.

  13. Wählen Sie die Registerkarte Zeitplan.
  14. Passen Sie den Startzeitplan für die Aufgabe an.

    Hinweis: Stellen Sie sicher, dass der Computer zum Zeitpunkt der geplanten Aufgabenausführung eingeschaltet ist.

  15. Klicken Sie auf Speichern.
  16. Um die Aufgabe unabhängig vom festgelegten Zeitplan sofort zu starten, gehen Sie wie folgt vor:
    1. Aktivieren Sie das Kontrollkästchen neben der Aufgabe.
  17. Klicken Sie auf Sie Schaltfläche Starten.

    Infolgedessen führt Kaspersky Endpoint Security auf dem Computer eine Suche nach Kompromittierungsindikatoren aus. Sie können die Aufgabenergebnisse in den Aufgabeneigenschaften im Abschnitt Ergebnisse anzeigen. Sie können die Informationen über gefundene Kompromittierungsindikatoren in den Aufgabeneigenschaften unter Anwendungseinstellungen > Ergebnisse der IOC-Untersuchung anzeigen.

Hinweis: Die Ergebnisse der IOC-Untersuchung werden 30 Tage lang gespeichert. Nach Ablauf dieses Zeitraums beginnt Kaspersky Endpoint Security automatisch mit dem Löschen der ältesten Einträge.

Kaspersky Endpoint Security für Mac:
Das optimierte Sicherheitsmanagement mit einer Cloud oder Web-Konsole
Adaptiver Schutz vor hoch entwickelten Cyberbedrohungen. Kaufen Sie diese Lösung als Teil von Kaspersky Endpoint Security for Business Advanced.
Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen
Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.
War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.