Trouver des indicateurs de compromission

Vous pouvez rechercher des indicateurs de compromission sur votre appareil et prendre des mesures pour répondre aux menaces à l'aide de la tâche Analyse IOC.

Pour rechercher des indicateurs de compromission, Kaspersky Endpoint Security utilise les fichiers IOC préparés par l'utilisateur. Les fichiers IOC doivent être conformes aux exigences relatives aux fichiers IOC.

Vous pouvez créer et lancer la tâche Analyse IOC, ainsi que modifier ses paramètres dans Web Console :

Vous ne pouvez pas créer, lancer ou configurer la tâche Analyse IOC à l'aide de la ligne de commande. L'affichage de la tâche Analyse IOC créée à partir de Web Console n'est pas disponible par la commande kesl-control --get-task-list dans la ligne de commande.

Pour cette tâche, la fonctionnalité Wake-on-LAN dans les paramètres de planification n'est pas disponible. Assurez-vous que l'appareil est allumé pour terminer la tâche.

Paramètres de la tâche Analyse IOC

Paramètre

Description

Redéfinir les fichiers IOC

Cliquer sur ce bouton ouvre le panneau Redéfinir les fichiers IOC.

En cliquant sur le bouton Ajouter des fichiers IOC situé dans le panneau Redéfinir les fichiers IOC, une fenêtre s'ouvre qui vous permet de sélectionner et de télécharger les fichiers IOC nécessaires pour rechercher des indicateurs de compromission sur votre appareil. Après avoir téléchargé les fichiers IOC, vous pouvez consulter la liste des indicateurs des fichiers IOC.

Exporter la collection IOC

En cliquant sur le bouton, les fichiers IOC sont téléchargés sur l'appareil.

Appliquer les actions de réponse lorsqu'un IOC est détecté

La case active ou désactive l'application d'actions de réponse lorsque des indicateurs de compromission sont détectés.

Si la case est cochée, lorsque des indicateurs de compromission sont détectés, l'application effectue les actions que vous sélectionnez :

  • Isoler l'appareil du réseau.

    Si cette case est cochée, lorsque des indicateurs de compromission sont détectés, l'application isole l'appareil du réseau pour empêcher la menace de se propager. Vous pouvez configurer le temps d'isolement.

  • Exécuter une analyse des zones critiques.

    Si la case est cochée, lorsque des indicateurs de compromission sont détectés, l'application exécute la tâche Analyse des zones critiques.

    Par défaut, Kaspersky Endpoint Security vérifie la mémoire du noyau, les processus en cours d'exécution et les secteurs de démarrage.

Si la case n'est pas cochée, l'application ne prend aucune mesure de réponse lorsque des indicateurs de compromission sont détectés. Les informations sur la détection des indicateurs de compromission sont affichées dans la fenêtre des détails de l'alerte et dans les propriétés de la tâche.

Zones d'analyse

Les zones d'analyse des fichiers sont affichées : zones importantes des lecteurs système et le chemin depuis l'IOC.

Il n'est pas recommandé d'ajouter ou de supprimer des fichiers IOC une fois la tâche démarrée. Cela peut entraîner un affichage incorrect des résultats d'analyse IOC pour les exécutions des tâches précédentes. Pour rechercher des indicateurs de compromission dans les nouveaux fichiers IOC, il est recommandé d'ajouter de nouvelles tâches.

Le résultat d'exécution de la tâche Analyse IOC peut être consulté dans la section Actifs (Appareils)Tâches → <nom de la tâche> → Paramètres de l'applicationRésultats d'analyse IOC.

Le tableau de la section Résultats d'analyse IOC contient une liste des appareils sur lesquels la tâche Analyse IOC a été exécutée, ainsi que les résultats de la tâche. Dans la liste déroulante Appareil, vous pouvez sélectionner les résultats d'exécution des tâches pour tous les appareils administrés du groupe d'administration ou pour un appareil spécifique.

Ce tableau contient les colonnes suivantes :

Le résultat de la tâche peut être aussi consulté dans la section Actifs (Appareils)Tâches → <nom de la tâche> sous l'onglet Résultats de la colonne Description.

La période de conservation des résultats de l'analyse IOC est de 30 jours. Passé ce délai, Kaspersky Endpoint Security supprime automatiquement les anciens enregistrements.

Haut de page