IOC-проверка

IOC-проверка – это поиск признаков целевых атак, а также зараженных и возможно зараженных объектов на устройствах с помощью IOC-файлов (индикаторов компрометации), скачанных вручную через Консоль OSMP.

Для выполнения IOC-проверки необходимо следующее:

• Установленный на ваших устройствах Kaspersky Endpoint Security со встроенным агентом.
• Хотя бы одно правило в списке IOC-правил.

Чтобы выполнить IOC-проверку, выполните следующие действия:

1. Выберите действие по реагированию IOC-проверка.

   Откроется панель Запустить IOC-проверку.

2. В раскрывающемся списке Правила выберите одно или несколько IOC-правил.
3. При необходимости настройте следующие параметры:
   • Укажите тенант.

Если действие по реагированию выполнялось из списка IOC-правил и были выбраны правила, принадлежащие разным тенантам, поле Тенант не заполняется. Необходимо вручную указать тенант, для устройства которого требуется подвергнуть IOC-проверке.

• Измените область действия по реагированию.

  По умолчанию в группе параметров Область действия выбран параметр Указанные активы и поле Активы содержит названия устройств, для которых вы ранее установили флажки. Это означает, что на этих устройствах будет выполняться IOC-проверка.

  Вы можете изменить устройства для проверки или выбрать вариант Все активы в группе параметров Область действия для проверки всех устройств, принадлежащих тенанту алерта или инцидента (и его дочерним тенантам).

• В поле Максимальная продолжительность проверки (в часах) укажите максимальную продолжительность проверки.

Значение по умолчанию – 23. По истечении указанного времени проверка останавливается, даже если некоторые правила не были применены для проверки устройств. Результат действия по реагированию содержит данные, актуальные на момент остановки проверки.

• В поле Описание напишите описание или комментарий к действию по реагированию.

1. Нажмите на кнопку Запустить.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Просмотр результата действия по реагированию

Вы можете просмотреть результаты выполнения действия по реагированию одним из следующих способов:

• В главном меню в разделе История реагирований.
• На вкладке История в сведениях алерта или инцидента.

В столбце Активы нужно перейти по ссылке с количеством активов, для которых была запущена IOC-проверка. В открывшемся окне с выбранной вкладкой Результат можно просмотреть статус проверки для каждого IOC-правила. Если при сканировании будет обнаружена угроза, будет создан соответствующий алерт. Вы можете перейти к алерту из результатов выполнения действия по реагированию.

Если не удалось завершить действие по реагированию, отображается сообщение об ошибке с информацией о причине ошибки.

В начало