Работа с пользовательскими правилами IOC
Вы можете использовать IOC-файлы для поиска индикаторов компрометации по базе событий и на компьютерах с компонентом Endpoint Agent. Например, если вы получили из внешних источников информацию о распространении вредоносного приложения, вы можете выполнить следующие действия:
- Создать IOC-файл с индикаторами компрометации для вредоносного приложения и загрузить его в веб-интерфейс Kaspersky Anti Targeted Attack Platform.
- Найти события, соответствующие условиям выбранного IOC-файла.
Вы можете просмотреть эти события и, если вы хотите, чтобы приложение Kaspersky Anti Targeted Attack Platform формировало обнаружения по выбранным событиям, вы можете создать правило TAA (IOA).
- Включить автоматическое использование выбранного IOC-файла для поиска индикаторов компрометации на компьютерах с компонентом Endpoint Agent.
- Если в результате проверки компьютеров компонент Endpoint Agent обнаружит индикаторы компрометации, приложение Kaspersky Anti Targeted Attack Platform сформирует обнаружение.
Вы можете найти эти обнаружения в таблице обнаружений с помощью фильтра по названию технологии.
- Настроить расписание поиска индикаторов компрометации с помощью IOC-файлов на компьютерах с компонентом Endpoint Agent.
В и IOC-файлы могут быть следующих типов:
- Локальный – IOC-файлы, загруженные на сервер SCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу SCN.
- Глобальный – IOC-файлы, загруженные на сервер PCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN.
IOC-файл представляет собой текстовый файл, сохраненный с расширением .ioc. При создании IOC-файла ознакомьтесь со списком IOC-терминов, поддерживаемых приложением, которое вы используете в роли компонента Endpoint Agent. Вы можете посмотреть список поддерживаемых IOC-терминов, скачав файлы по ссылкам ниже.
Kaspersky Endpoint Agent для Windows и Kaspersky Endpoint Security для Windows
Kaspersky Endpoint Security 12 для Linux
Kaspersky Endpoint Security 11.4 для Linux и Kaspersky Endpoint Security для Mac не поддерживают работу с IOC-файлами.
Пример IOC-файла для поиска файла по его хеш-сумме
<?xml version="1.0" encoding="us-ascii"?>
<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema"
id="
уникальный идентификатор в формате UUID" last-modified="
дата последнего изменения правила в формате ГГГГ-ММ-ДДT
ЧЧ:ММ:СС" xmlns="http://schemas.mandiant.com/2010/ioc">
<short_description>
название правила</short_description>
<authored_by>
имя правила</authored_by>
<authored_date>
дата создания файла в формате ГГГГ-ММ-ДДTЧЧ:ММ:СС</authored_date>
<links />
<definition>
<Indicator operator="OR" id="
уникальный идентификатор в формате UUID">
<IndicatorItem id="
уникальный идентификатор в формате UUID" condition="is">
<Context document="FileItem" search="FileItem/Md5sum" type="mir" />
<Content type="md5">
MD5-хеш файла</Content>
</IndicatorItem>
</Indicator>
</definition>
</ioc>
Один IOC-файл может содержать только одно правило. Правило может быть любой сложности.
Пользователи с ролью Старший сотрудник службы безопасности могут импортировать, удалять, скачивать IOC-файлы на компьютер, включать и отключать поиск индикаторов компрометации по IOC-файлам, а также настраивать расписание поиска индикаторов компрометации на компьютерах с компонентом Endpoint Agent.
Пользователи с ролью Сотрудник службы безопасности и Аудитор могут просматривать список IOC-файлов и информацию о выбранном файле, а также экспортировать IOC-файлы на компьютер.
В начало