Вы можете выполнять поиск индикаторов компрометации на устройстве, а также выполнять действия по реагированию на угрозы с помощью задачи Поиск IOC.
Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы, подготовленные пользователем. IOC-файлы должны соответствовать требованиям к IOC-файлам.
Вы можете создавать и запускать задачу Поиск IOC, а также изменять ее параметры в Web Console:
Вы не можете создавать, запускать или настраивать задачу Поиск IOC с помощью командной строки. Просмотр задачи Поиск IOC, созданной в Web Console, недоступен по команде kesl-control --get-task-list в командной строке.
Для этой задачи функция Wake-on-LAN в параметрах расписания недоступна. Убедитесь, что устройство включено для выполнения задачи.
Параметры задачи Поиск IOC
Параметр |
Описание |
|---|---|
Переопределить IOC-файлы |
При нажатии на кнопку открывается панель Переопределить IOC-файлы. При нажатии на кнопку Добавить IOC-файлы, расположенную в панели Переопределить IOC-файлы, открывается окно, с помощью которого вы можете выбрать на устройстве и загрузить IOC-файлы, необходимые для поиска индикаторов компрометации. После загрузки IOC-файлов вы можете просмотреть список индикаторов из IOC-файлов. |
Экспортировать IOC-коллекцию |
При нажатии на кнопку выполняется скачивание IOC-файлов на устройство. |
Применять действия по реагированию при обнаружении IOC |
Флажок включает или выключает применение действий по реагированию при обнаружении индикаторов компрометации. Если флажок установлен, то при обнаружении индикаторов компрометации приложение выполняет выбранные вами действия:
Если флажок снят, то при обнаружении индикаторов компрометации приложение не выполняет действия по реагированию. Информация об обнаружении индикаторов компрометации отображается в окне с деталями алерта и в свойствах задачи. |
Области проверки |
Отображаются области проверки файлов: важные области системных дисков и путь из IOC. |
Не рекомендуется добавлять или удалять IOC-файлы после запуска задачи. Это может привести к некорректному отображению результатов поиска IOC для предыдущих запусков задачи. Для поиска индикаторов компрометации по новым IOC-файлам рекомендуется добавлять новые задачи.
Результат выполнения задачи Поиск IOC можно посмотреть в разделе Активы (Устройства) → Задачи → <название задачи> → Параметры приложения → Результаты поиcка IOC.
Таблица в разделе Результаты поиcка IOC содержит список устройств, на которых выполнена задача Поиск IOC, а также результаты выполнения задачи. В раскрывающемся списке Устройство вы можете выбрать результаты выполнения задачи для всех управляемых устройств группы администрирования или для конкретного устройства.
Таблица содержит следующие столбцы:
Статус обнаружения индикаторов компрометации, отображающийся в виде значка.
Имя устройства, на котором выполнена задача Поиск IOC.
Дата и время выполнения задачи Поиск IOC.
Информация о результате выполнения задачи Поиск IOC. В результате выполнения задачи может отображаться один из следующих статусов:
Этот статус отображается в виде ссылки, при переходе по которой открывается окно с деталями алерта.
Также результат выполнения задачи можно посмотреть в разделе Активы (Устройства) → Задачи → <название задачи> на закладке Результаты в столбце Описание.
Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.
В начало