Análisis en busca de indicadores de peligro

Un indicador de peligro (IOC) es un conjunto de datos sobre un objeto o una actividad que indica acceso no autorizado al ordenador (vulneración de datos). Por ejemplo, muchos intentos fallidos de iniciar sesión en el sistema pueden constituir un indicador de peligro. La tarea Análisis de IOC permite encontrar indicadores de peligro en el ordenador y tomar medidas de respuesta a las amenazas.

Kaspersky Endpoint Security busca indicadores de peligro mediante el uso de archivos de IOC. Los archivos de IOC son archivos que contienen los conjuntos de indicadores que la aplicación intenta vincular para contar una detección. Los archivos de IOC deben cumplir con el estándar de OpenIOC.

Modo de ejecución de la tarea de Análisis de IOC

Kaspersky Endpoint Detection and Response le permite crear tareas de Análisis de IOC estándar para detectar datos vulnerados. La tarea de Análisis de IOC estándar es una tarea grupal o local que se crea y configura manualmente en Web Console. Las tareas se ejecutan con archivos de IOC preparados por el usuario. Si desea añadir un indicador de peligro manualmente, lea los requisitos para los archivos de IOC.

Crear una tarea de Análisis de IOC

Puede crear tareas de Análisis de IOC manualmente de las siguientes maneras:

• En los detalles de alerta (solo para EDR Optimum).

  Detalles de alerta es una herramienta para ver toda la información recopilada sobre una amenaza detectada. Los detalles de la alerta incluyen, por ejemplo, el historial de archivos que aparecen en el ordenador. Para obtener más información sobre la administración de los detalles de las alertas, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum.

• Con el Asistente de tareas.

Para crear una tarea de Análisis de IOC, siga estos pasos:

1. En la ventana principal de Web Console, elija Dispositivos > Tareas.

   Se abre la lista de tareas.

2. Haga clic en Agregar.

   Se inicia el Asistente para crear nueva tarea.

3. Defina la configuración de la tarea:
   1. En la lista desplegable Aplicación, seleccione Kaspersky Endpoint Security for Mac (12.1).
   2. En la lista desplegable Tipo de tarea, seleccione Análisis de IOC.
   3. En el campo Nombre de la tarea, introduzca una breve descripción.
   4. En el bloque Seleccionar a qué dispositivos se asignará la tarea, seleccione el alcance de la tarea.
4. Seleccione los dispositivos de acuerdo con el alcance seleccionado de la tarea.
5. En la sección Configuración del Análisis de IOC, cargue los archivos de IOC para buscar indicadores de peligro.

   Después de cargar los archivos de IOC, puede ver la lista de indicadores de los archivos de IOC.

   Nota: No se recomienda añadir ni eliminar archivos de IOC después de ejecutar la tarea. Esto puede hacer que los resultados del Análisis de IOC se muestren incorrectamente para ejecuciones anteriores de la tarea. Para buscar indicadores de peligro según nuevos archivos de IOC, se recomienda añadir nuevas tareas.

6. Configure las acciones al detectar un IOC:
   • Aislar el ordenador de la red. Si se selecciona esta opción, Kaspersky Endpoint Security aísla el ordenador de la red para evitar que la amenaza se propague. Puede configurar la duración del aislamiento en la configuración del componente Endpoint Detection and Response.
   • Mover la copia a la Cuarentena, eliminar objeto. Si se selecciona esta opción, Kaspersky Endpoint Security elimina el objeto malicioso que se encuentra en el ordenador. Antes de eliminar el objeto, Kaspersky Endpoint Security crea una copia de seguridad en caso de que el objeto deba restaurarse más adelante. Kaspersky Endpoint Security mueve la copia de seguridad a la Cuarentena.
   • Ejecutar un análisis de áreas críticas. Si se selecciona esta opción, Kaspersky Endpoint Security ejecuta la tarea de Análisis rápido. De manera predeterminada, Kaspersky Endpoint Security analiza la memoria, los objetos de inicio y las carpetas del sistema.
7. Vaya a la sección Avanzado.
8. Seleccione los tipos de datos (documentos de IOC) que se deben analizar como parte de la tarea.

   Nota: Kaspersky Endpoint Security selecciona automáticamente los tipos de datos (documentos de IOC) para la tarea de Análisis de IOC de acuerdo con el contenido de los archivos de IOC cargados. No se recomienda anular la selección de los tipos de datos.

   Además, puede configurar la cobertura del análisis para los siguientes tipos de datos:

   • Archivos: FileItem
   • Cuentas de usuario: UserItem
   • Hosts: SystemInfoItem
9. Haga clic en Aceptar.
10. Introduzca las credenciales de la cuenta del usuario cuyos derechos desea usar para ejecutar la tarea. Haga clic en Siguiente.

    Nota: De manera predeterminada, Kaspersky Endpoint Security inicia la tarea como la cuenta de usuario del sistema (root).

11. En el paso Finalizar la creación de tareas, haga clic en el botón Finalizar para crear la tarea y cerrar el asistente.

    Si activó la opción Abrir los detalles de la tarea cuando se complete la creación, se abre la ventana de configuración de la tarea. En esta ventana, puede verificar los parámetros de la tarea, modificarlos o configurar una programación de inicio de la tarea, si es necesario.

12. Haga clic en la tarea nueva.

    Se abre la ventana de propiedades de la tarea.

13. Seleccione la pestaña Programar.
14. Configurar la programación de la tarea.

    Nota: Asegúrese de que el ordenador esté encendido para ejecutar la tarea.

15. Haga clic en el botón Guardar.
16. Para ejecutar la tarea de inmediato independientemente de la programación configurada, haga lo siguiente:
    1. Seleccione la casilla de verificación junto a la tarea.
17. Haga clic en el botón Ejecutar.

    Como resultado, Kaspersky Endpoint Security ejecuta la búsqueda de indicadores de peligro en el ordenador. Puede ver los resultados de la tarea en las propiedades de la tarea en la sección Resultados. Puede ver la información sobre los indicadores de peligro detectados en las propiedades de la tarea: Configuración de la aplicación > Resultados del Análisis de IOC.

Nota: Los resultados del Análisis de IOC se conservan durante 30 días. Después de este período, Kaspersky Endpoint Security elimina automáticamente las entradas más antiguas.