Recherche d'indicateurs de compromission (tâche autonome)
Un indicateur de compromission (IOC) est un ensemble de données concernant un objet ou une activité qui indique un accès non autorisé à l'ordinateur (compromission des données). Par exemple, de nombreuses tentatives infructueuses de se connecter au système peuvent constituer un indicateur de compromission. Les tâches Analyse IOC permettent de trouver des indicateurs de compromission sur l'ordinateur et de prendre des mesures de réponse aux menaces.
Kaspersky Endpoint Security recherche les indicateurs de compromission à l'aide des fichiers IOC. Les fichiers IOC sont des fichiers contenant les ensembles d'indicateurs que l'application tente de faire correspondre pour compter une détection. Les fichiers IOC doivent être conformes standard OpenIOC. Kaspersky Endpoint Security génère automatiquement des fichiers IOC pour Kaspersky Sandbox.
Mode d'exécution des tâches d'analyse IOC
L'application crée des tâches autonomes d'analyse IOC pour Kaspersky Sandbox. La tâche autonome d'analyse IOC est une tâche de groupe qui est automatiquement créée lors de la réaction à une menace détectée par Kaspersky Sandbox. Kaspersky Endpoint Security génère automatiquement le fichier IOC. Les fichiers IOC personnalisés ne sont pas pris en charge. Les tâches sont automatiquement supprimées 30 jours après leur création. Pour en savoir plus sur les tâches autonomes d'analyse IOC, consultez l'aide de Kaspersky Sandbox.
Paramètres de la tâche Analyse IOC
Kaspersky Sandbox peut créer et exécuter des tâches Analyse IOC automatiquement lorsqu'il réagit aux menaces.
Vous pouvez configurer les paramètres uniquement dans Web Console.
Vous avez besoin de Kaspersky Security Center 13.2 pour que les tâches autonomes d'analyse IOC de Kaspersky Sandbox fonctionnent.
Pour modifier les paramètres de la tâche d'analyse IOC, procédez comme suit :
- Dans la fenêtre principale de Web Console, choisissez Appareils → Tâches.
La liste des tâches s'ouvre.
- Cliquez sur la tâche Analyse IOC de Kaspersky Endpoint Security.
La fenêtre des propriétés de la tâche s'ouvre.
- Choisissez l'onglet Paramètres des applications.
- Passez à la section Paramètres de l'analyse IOC.
- Configurez les actions à effectuer en cas de détection d'IOC :
- Placer la copie en Quarantaine, supprimer l'objet ; Si cette option est sélectionnée, Kaspersky Endpoint Security supprime l'objet malveillant trouvé sur l'ordinateur. Avant de supprimer l'objet, Kaspersky Endpoint Security crée une copie de sauvegarde au cas où l'objet devrait être restauré ultérieurement. Kaspersky Endpoint Security déplace la copie de sauvegarde dans la Quarantaine.
- Lancer l'analyse des zones critiques ; Si cette option est sélectionnée, Kaspersky Endpoint Security exécute la tâche Analyse des zones critiques. Par défaut, Kaspersky Endpoint Security analyse la mémoire du noyau, les processus lancés et les secteurs d'amorçage.
- Définissez le mode d'exécution de la tâche d'analyse IOC à l'aide de la case Exécuter uniquement lorsque l'ordinateur est inactif. La case active/désactive la suspension de la tâche Analyse IOC si les ressources de l'ordinateur sont occupées. Kaspersky Endpoint Security suspend la tâche Analyse IOC tant que l'écran de veille n'est pas activé et que l'ordinateur n'a pas été débloqué.
Cette option de planification vous permet de préserver les ressources de l'ordinateur lorsque celui-ci est utilisé.
- Enregistrez vos modifications.
Vous pouvez consulter les résultats de la tâche dans les propriétés de la tâche dans la section Résultats. Vous pouvez consulter les informations relatives aux indicateurs de compromission détectés dans les propriétés de la tâche : Paramètres des applications → Résultats de l'analyse IOC.
Les résultats de l'analyse IOC sont conservés pendant 30 jours. А̀ l'issue de cette période, Kaspersky Endpoint Security supprime automatiquement les enregistrements les plus anciens.