Vyhledávání indikátorů narušení (standardní úloha)

Indikátor narušení (IOC) je sada dat o objektu nebo činnosti, která indikuje neoprávněný přístup k počítači (narušení dat). Indikátor narušení může například představovat mnoho neúspěšných pokusů o přihlášení do systému. Úloha Kontrola IOC umožňuje v počítači najít tyto indikátory narušení a přijmout opatření jako reakci na hrozby.

Kaspersky Endpoint Security vyhledává indikátory narušení pomocí souborů IOC. Soubory IOC jsou soubory obsahující sady indikátorů, které se aplikace pokusí porovnat, aby započítala detekci. Soubory IOC musí odpovídat standardu OpenIOC.

Režim spouštění úloh IOC

Kaspersky Endpoint Detection and Response vám umožňuje vytvářet standardní úlohy kontroly IOC a zjišťovat tak data, u nichž došlo k narušení. Standardní úloha kontroly IOC je skupinová nebo místní úloha, která je vytvořena a nakonfigurována ručně ve webové konzole. Úlohy se spouštějí pomocí souborů IOC připravených uživatelem. Chcete-li přidat indikátor narušení ručně, přečtěte si požadavky na soubory IOC.

Soubor, který si můžete stáhnout kliknutím na níže uvedený odkaz, obsahuje tabulku s úplným seznamem podmínek IOC standardu OpenIOC.

STAŽENÍ SOUBORU IOC_TERMS.TXT

Kaspersky Endpoint Security také podporuje samostatné úlohy kontroly IOC, když je aplikace používána jako součást řešení Kaspersky Sandbox.

Vytvoření úlohy kontroly IOC

Úlohy Kontrola IOC můžete vytvářet ručně:

• V podrobnostech výstrahy (pouze EDR Optimum).

  Podrobnosti o výsledcích detekce je nástroj pro prohlížení všech shromážděných informací o detekované hrozbě. Mezi výsledky detekce patří například historie souborů objevujících se v počítači. Podrobnosti o správě podrobností o výsledcích detekce najdete v nápovědě k řešení Kaspersky Endpoint Detection and Response Optimum a nápovědě k řešení Kaspersky Endpoint Detection and Response Expert.

• Používání průvodce úlohami.

Úlohu pro EDR Optimum můžete nakonfigurovat ve webové konzole a v cloudové konzole. Nastavení úloh pro nástroj EDR Expert je k dispozici pouze v cloudové konzole.

Vytvoření úlohy kontroly IOC:

1. V hlavním okně webové konzoly vyberte možnosti Devices → Tasks.

   Otevře se seznam úloh.

2. Klikněte na tlačítko Add.

   Spustí se průvodce úlohou.

3. Konfigurace nastavení úlohy:
   1. V rozevíracím seznamu Application vyberte možnost Kaspersky Endpoint Security for Windows (11.11.0).
   2. V rozevíracím seznamu Task type vyberte možnost IOC Scan.
   3. Do pole Task name zadejte krátký popis.
   4. V bloku Select devices to which the task will be assigned vyberte rozsah úlohy.
4. Vyberte zařízení podle vybrané možnosti rozsahu úlohy. Přejděte k dalšímu kroku.
5. Zadejte přihlašovací údaje účtu uživatele, jehož práva chcete použít ke spuštění úlohy. Přejděte k dalšímu kroku.

   Ve výchozím nastavení aplikace Kaspersky Endpoint Security spouští úlohu jako systémový uživatelský účet (SYSTEM).

   Systémový účet (SYSTEM) nemá oprávnění k provádění úloh Kontrola IOC na síťových jednotkách. Pokud chcete spustit úlohu pro síťovou jednotku, vyberte účet uživatele, který má k této jednotce přístup.

   U samostatných úloh Kontrola IOC u síťových jednotek musíte v nastavení úlohy ručně vybrat uživatelský účet, který má přístup k této jednotce.

6. Ukončete průvodce.

   V seznamu úloh se zobrazí nová úloha.

7. Klikněte na novou úlohu.

   Otevře se okno vlastností úlohy.

8. Vyberte kartu Application settings.
9. Přejděte do části IOC scan settings.
10. Načtěte soubory IOC a vyhledejte indikátory narušení.

    Po načtení souborů IOC si můžete zobrazit seznam indikátorů ze souborů IOC.

    Přidávání nebo odstraňování souborů IOC po spuštění úlohy se nedoporučuje. Může to způsobit nesprávné zobrazení výsledků kontroly IOC pro předchozí spuštění úlohy. Pro vyhledávání indikátorů narušení pomocí nových souborů IOC se doporučuje přidat nové úlohy.

11. Konfigurace akcí při detekci IOC:
    • Isolate computer from the network. Pokud je vybrána tato možnost, aplikace Kaspersky Endpoint Security izoluje počítač od sítě, aby se zabránilo šíření hrozby. Dobu izolace můžete nakonfigurovat v nastavení součásti Endpoint Detection and Response.
    • Move copy to Quarantine, delete object. Pokud je vybrána tato možnost, aplikace Kaspersky Endpoint Security odstraní škodlivý objekt nalezený v počítači. Před odstraněním objektu vytvoří aplikace Kaspersky Endpoint Security záložní kopii pro případ, že bude nutné objekt později obnovit. Kaspersky Endpoint Security přesune záložní kopii do karantény.
    • Run scan of critical areas. Pokud je vybrána tato možnost, aplikace Kaspersky Endpoint Security spustí úlohu Kontrola kritických oblastí. Ve výchozím nastavení aplikace Kaspersky Endpoint Security kontroluje paměť jádra, spuštěné procesy a spouštěcí sektory disků.
12. Přejděte do části Advanced.
13. Vyberte datové typy (dokumenty IOC), které je třeba analyzovat jako součást úlohy.

    Aplikace Kaspersky Endpoint Security automaticky vybírá datové typy (dokumenty IOC) pro úlohu IOC Scan v souladu s obsahem nahrávaných souborů IOC. Nedoporučujeme výběr datových typů rušit.

    Kromě toho můžete nakonfigurovat rozsahy kontroly pro následující datové typy:

    • Files - FileItem. Rozsah kontroly IOC v počítači nastavíte pomocí přednastavených rozsahů.

      Aplikace Kaspersky Endpoint Security standardně při kontrole vyhledává IOC pouze v důležitých oblastech počítače, jako je složka Stažené soubory, plocha, složka s dočasnými soubory operačního systému atd. Rozsah kontroly můžete také ručně přidat.

    • Windows event logs - EventLogItem. Zadejte časové období, kdy byly události protokolovány. Můžete také vybrat, které protokoly událostí systému Windows mají být používány pro kontroly IOC. Ve výchozím nastavení jsou vybrány tyto protokoly událostí: protokol událostí aplikace, protokol událostí systému a protokol událostí zabezpečení.

    U datového typu Windows registry - RegistryItem aplikace Kaspersky Endpoint Security kontroluje sadu klíčů registru.

14. V okně vlastností úlohy vyberte kartu Schedule.
15. Nakonfigurujte plán úloh.

    Funkce Wake-on-LAN není u této úlohy k dispozici. Aby bylo možné úlohu spustit, musí být počítač zapnutý.

16. Uložte změny.
17. Zaškrtněte políčko vedle úlohy.
18. Klikněte na tlačítko Run.

Aplikace Kaspersky Endpoint Security tak spustí v počítači hledání indikátorů narušení. Výsledky úlohy můžete zobrazit ve vlastnostech úlohy v části Results. Informace o zjištěných indikátorech narušení můžete zobrazit ve vlastnostech úlohy: Application settings → IOC Scan Results.

Výsledky kontroly IOC jsou uchovávány po dobu 30 dní. Po této době bude aplikace Kaspersky Endpoint Security automaticky odstraňovat nejstarší záznamy.

Začátek stránky