Rechercher des indicateurs de compromission

Un Indicateur de compromission (IOC) est un ensemble de données concernant un objet ou une activité qui indique un accès non autorisé à l’ordinateur (données compromises). Par exemple, de nombreuses tentatives infructueuses de connexion au système peuvent constituer un Indicateur de compromission. La tâche Analyse IOC permet de rechercher des indicateurs de compromission sur l’ordinateur et de prendre des mesures contre les menaces.

Kaspersky Endpoint Security recherche les indicateurs de compromission à l’aide de fichiers IOC. Les fichiers IOC sont des fichiers contenant les ensembles d’indicateurs que l’application essaie de faire correspondre pour comptabiliser une détection. Les fichiers IOC doivent être conformes à la norme OpenIOC.

Mode d’exécution de la tâche d’analyse IOC

Kaspersky Endpoint Detection and Response vous permet de créer des tâches d’analyse IOC standard pour détecter les données compromises. La tâche d’analyse IOC standard est une tâche de groupe ou locale créée et configurée manuellement dans Web Console. Les tâches sont exécutées à l’aide de fichiers IOC que l’utilisateur a préparé. Si vous souhaitez ajouter un indicateur de compromission manuellement, veuillez lire les conditions requises pour les fichiers IOC.

Création d’une tâche d’analyse IOC

Vous pouvez créer des tâches d’analyse IOC manuellement :

• Dans les détails de l’alerte (uniquement pour EDR Optimum).

  Détails de l’alerte est un outil qui permet de consulter l’intégralité des informations recueillies sur une menace détectée. Les détails de l’alerte reprennent, par exemple, l’historique des fichiers apparus sur l’ordinateur. Pour en savoir plus sur la gestion des détails de l’alerte, consultez l’ aide de Kaspersky Endpoint Detection and Response Optimum.

• À l’aide de l’Assistant de tâches.

Pour créer une tâche d’analyse IOC, procédez comme suit :

1. Dans la fenêtre principale de Web Console, sélectionnez Appareils > Tâches.

   La liste des tâches s’ouvre.

2. Cliquez sur Ajouter.

   L’Assistant de création d’une tâche démarre.

3. Configurez les paramètres de la tâche :
   1. Dans la liste déroulante Application, sélectionnez l’option Kaspersky Endpoint Security for Mac (12.1).
   2. Dans la liste déroulante Type de tâche, sélectionnez Analyse IOC.
   3. Dans le champ Nom de tâche, saisissez une courte description.
   4. Dans le groupe Sélection des appareils auxquels la tâche sera affectée, sélectionnez la zone d’action de la tâche.
4. Sélectionnez les appareils en fonction de l’option de zone d’action sélectionnée.
5. Dans la section Paramètres de l’analyse IOC, chargez les fichiers IOC pour rechercher des indicateurs de compromission.

   Une fois les fichiers IOC chargés, vous pouvez consulter la liste des indicateurs à partir de fichiers IOC.

   Remarque : il est déconseillé d’ajouter ou de supprimer des fichiers IOC après avoir exécuté la tâche. Cela peut entraîner un affichage incorrect des résultats de l’analyse IOC pour les exécutions précédentes de la tâche. Pour rechercher des indicateurs de compromission à l’aide de nouveaux fichiers IOC, il est recommandé d’ajouter de nouvelles tâches.

6. Configurez les actions en cas de détection d’IOC :
   • Isoler l’ordinateur du réseau. Si cette option est sélectionnée, Kaspersky Endpoint Security isole l’ordinateur du réseau pour empêcher la propagation de la menace. Vous pouvez configurer la durée de l’isolation dans les paramètres du Endpoint Detection and Response.
   • Déplacer la copie en quarantaine, supprimer l’objet. Si cette option est sélectionnée, Kaspersky Endpoint Security supprime l’objet malveillant détecté sur l’ordinateur. Avant de supprimer l’objet, Kaspersky Endpoint Security crée une copie de sauvegarde au cas où il faudrait restaurer l’objet ultérieurement. Kaspersky Endpoint Security place la copie de sauvegarde en quarantaine.
   • Lancer l’analyse des zones critiques. Si cette option est sélectionnée, Kaspersky Endpoint Security exécute la tâche Analyse rapide. Par défaut, Kaspersky Endpoint Security analyse la mémoire, les objets de démarrage et les dossiers système.
7. Accédez à la section Avancé.
8. Sélectionnez les types de données (documents IOC) qui doivent être analysés dans le cadre de la tâche.

   Remarque : Kaspersky Endpoint Security sélectionne automatiquement le type de données (documents IOC) pour la tâche d’analyse IOC en fonction du contenu des fichiers IOC chargés. Il est déconseillé de désélectionner les types de données.

   Vous pouvez également configurer des zones d’analyse pour les types de données suivants :

   • Fichiers - FichierItem
   • Comptes utilisateurs - UserItem
   • Hôtes - SystemInfoItem
9. Cliquez sur OK.
10. Saisissez les identifiants de l’utilisateur sous lequel vous souhaitez exécuter la tâche. Cliquez sur Suivant.

    Remarque : par défaut, Kaspersky Endpoint Security lance la tâche en tant que compte de l’utilisateur système (root).

11. À l’étape Fin de la création de la tâche, cliquez sur le bouton Terminer pour créer la tâche et quitter l’Assistant.

    Si vous avez activé l’option Ouvrir les détails de la tâche à la fin de la création, la fenêtre des paramètres de la tâche s’ouvre. Cette fenêtre permet de vérifier les paramètres de la tâche, de les modifier ou de configurer une planification de lancement de tâche, si nécessaire.

12. Cliquez sur la nouvelle tâche.

    La fenêtre des propriétés de la tâche s’ouvre.

13. Choisissez l’onglet Planification.
14. Configurez la planification de la tâche.

    Remarque : assurez-vous que l’ordinateur est allumé pour exécuter la tâche.

15. Cliquez sur le bouton Enregistrer.
16. Pour exécuter la tâche immédiatement, quelle que soit la planification configurée, procédez comme suit :
    1. Cochez la case en regard de la tâche.
17. Cliquez sur le bouton Exécuter.

    Par conséquent, Kaspersky Endpoint Security exécute la recherche d’indicateurs de compromission sur l’ordinateur. Vous pouvez consulter les résultats de l’exécution de la tâche dans la section Résultats des propriétés de la tâche. Vous pouvez consulter les informations sur les indicateurs de compromission détectés dans les propriétés de la tâche : Paramètres de l’application > Résultats de l’analyse IOC.

Remarque : les résultats de l’analyse IOC sont conservés pendant 30 jours. À l’issue de cette période, Kaspersky Endpoint Security supprime automatiquement les entrées les plus anciennes.