Vous pouvez rechercher des indicateurs de compromission sur votre appareil et prendre des mesures pour répondre aux menaces à l'aide de la tâche Analyse IOC.
Pour rechercher des indicateurs de compromission, Kaspersky Endpoint Security utilise les fichiers IOC préparés par l'utilisateur. Les fichiers IOC doivent être conformes aux exigences relatives aux fichiers IOC.
Vous pouvez créer et lancer la tâche Analyse IOC, ainsi que modifier ses paramètres dans Web Console :
Vous ne pouvez pas créer, lancer ou configurer la tâche Analyse IOC à l'aide de la ligne de commande. L'affichage de la tâche Analyse IOC créée à partir de Web Console n'est pas disponible par la commande kesl-control --get-task-list dans la ligne de commande.
Pour cette tâche, la fonctionnalité Wake-on-LAN dans les paramètres de planification n'est pas disponible. Assurez-vous que l'appareil est allumé pour terminer la tâche.
Paramètres de la tâche Analyse IOC
Paramètre |
Description |
|---|---|
Redéfinir les fichiers IOC |
Cliquer sur ce bouton ouvre le panneau Redéfinir les fichiers IOC. En cliquant sur le bouton Ajouter des fichiers IOC situé dans le panneau Redéfinir les fichiers IOC, une fenêtre s'ouvre qui vous permet de sélectionner et de télécharger les fichiers IOC nécessaires pour rechercher des indicateurs de compromission sur votre appareil. Après avoir téléchargé les fichiers IOC, vous pouvez consulter la liste des indicateurs des fichiers IOC. |
Exporter la collection IOC |
En cliquant sur le bouton, les fichiers IOC sont téléchargés sur l'appareil. |
Appliquer les actions de réponse lorsqu'un IOC est détecté |
La case active ou désactive l'application d'actions de réponse lorsque des indicateurs de compromission sont détectés. Si la case est cochée, lorsque des indicateurs de compromission sont détectés, l'application effectue les actions que vous sélectionnez :
Si la case n'est pas cochée, l'application ne prend aucune mesure de réponse lorsque des indicateurs de compromission sont détectés. Les informations sur la détection des indicateurs de compromission sont affichées dans la fenêtre des détails de l'alerte et dans les propriétés de la tâche. |
Zones d'analyse |
Les zones d'analyse des fichiers sont affichées : zones importantes des lecteurs système et le chemin depuis l'IOC. |
Il n'est pas recommandé d'ajouter ou de supprimer des fichiers IOC une fois la tâche démarrée. Cela peut entraîner un affichage incorrect des résultats d'analyse IOC pour les exécutions des tâches précédentes. Pour rechercher des indicateurs de compromission dans les nouveaux fichiers IOC, il est recommandé d'ajouter de nouvelles tâches.
Le résultat d'exécution de la tâche Analyse IOC peut être consulté dans la section Actifs (Appareils) → Tâches → <nom de la tâche> → Paramètres de l'application → Résultats d'analyse IOC.
Le tableau de la section Résultats d'analyse IOC contient une liste des appareils sur lesquels la tâche Analyse IOC a été exécutée, ainsi que les résultats de la tâche. Dans la liste déroulante Appareil, vous pouvez sélectionner les résultats d'exécution des tâches pour tous les appareils administrés du groupe d'administration ou pour un appareil spécifique.
Ce tableau contient les colonnes suivantes :
État de détection de compromission, affiché sous forme d'icône.
Nom de l'appareil sur lequel la tâche Analyse IOC a été effectuée.
Date et heure d'exécution de la tâche Analyse IOC.
Informations sur le résultat de la tâche Analyse IOC. Suite à l'exécution de la tâche, l'un des statuts suivants peut être affiché :
Cet état est affiché sous forme de lien qui, lorsque vous cliquez dessus, ouvre une fenêtre avec les détails de l'alerte.
Le résultat de la tâche peut être aussi consulté dans la section Actifs (Appareils) → Tâches → <nom de la tâche> sous l'onglet Résultats de la colonne Description.
La période de conservation des résultats de l'analyse IOC est de 30 jours. Passé ce délai, Kaspersky Endpoint Security supprime automatiquement les anciens enregistrements.
Haut de page