IOC-проверка

IOC-проверка – это поиск признаков целевых атак, а также зараженных и возможно зараженных объектов на устройствах с помощью IOC-файлов (индикаторов компрометации), скачанных вручную через Консоль OSMP.

Для выполнения IOC-проверки необходимо следующее:

Чтобы выполнить IOC-проверку, выполните следующие действия:

  1. Выберите действие по реагированию IOC-проверка.

    Откроется панель Запустить IOC-проверку.

  2. В раскрывающемся списке Правила выберите одно или несколько IOC-правил.
  3. При необходимости настройте следующие параметры:
    • Укажите тенант.

Если действие по реагированию выполнялось из списка IOC-правил и были выбраны правила, принадлежащие разным тенантам, поле Тенант не заполняется. Необходимо вручную указать тенант, для устройства которого требуется подвергнуть IOC-проверке.

Значение по умолчанию – 23. По истечении указанного времени проверка останавливается, даже если некоторые правила не были применены для проверки устройств. Результат действия по реагированию содержит данные, актуальные на момент остановки проверки.

  1. Нажмите на кнопку Запустить.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Просмотр результата действия по реагированию

Вы можете просмотреть результаты выполнения действия по реагированию одним из следующих способов:

В столбце Активы нужно перейти по ссылке с количеством активов, для которых была запущена IOC-проверка. В открывшемся окне с выбранной вкладкой Результат можно просмотреть статус проверки для каждого IOC-правила. Если при сканировании будет обнаружена угроза, будет создан соответствующий алерт. Вы можете перейти к алерту из результатов выполнения действия по реагированию.

Если не удалось завершить действие по реагированию, отображается сообщение об ошибке с информацией о причине ошибки.

В начало