Biztonsági sérülési indikátorok vizsgálata (önálló feladat)

A biztonsági sérülési indikátor (IOC) egy olyan objektumra vagy tevékenységre vonatkozó adathalmaz, amely jogosulatlan hozzáférést jelez a számítógéphez (adatok veszélyeztetése). Például sok sikertelen bejelentkezési kísérlet a rendszerbe biztonsági sérülésre utalhat. Az IOC vizsgálat feladatok lehetővé teszik a biztonsági sérülési indikátorok (IOC) megtalálását a számítógépen, valamint biztosítják a fenyegetésre reagáló intézkedések megtételét.

A Kaspersky Endpoint Security IOC-fájlok segítségével keresi a biztonsági sérülés indikátorait. Az IOC-fájlok olyan fájlok, amelyek az indikátorkészleteket tartalmazzák, és amelyekkel az alkalmazás egyezést próbál találni észlelés esetén. Az IOC-fájloknak meg kell felelniük az OpenIOC szabványnak. A Kaspersky Endpoint Security automatikusan IOC-fájlokat hoz létre a Kaspersky Sandbox számára.

Az IOC vizsgálat feladat futtatási módja

Az alkalmazás önálló IOC vizsgálati feladatokat hoz létre a Kaspersky Sandbox számára. Az Önálló IOC vizsgálati feladat egy olyan csoportos feladat, amely automatikusan létrejön, amikor a Kaspersky Sandbox az általa észlelt fenyegetésre reagál. A Kaspersky Endpoint Security automatikusan létrehozza az IOC-fájlt. Az egyéni IOC-fájlok nem támogatottak. A feladatok a létrehozás után 30 nappal automatikusan törlődnek. Az önálló IOC vizsgálati feladatokkal kapcsolatos további részletekért lásd a Kaspersky Sandbox súgót.

Az IOC vizsgálati feladat beállításai

A Kaspersky Sandbox automatikusan létrehozhat és futtathat IOC vizsgálat i feladatokat, amikor a fenyegetésekre reagál.

A beállítások csak a webkonzolon keresztül konfigurálhatók.

A Kaspersky Security Center 13.2 verzióra van szükség a Kaspersky Sandbox önálló IOC vizsgálati feladatainak működéséhez.

Az IOC vizsgálati feladat beállításainak módosítása:

  1. A Web Console fő ablakában válassza a DevicesTasks lehetőséget.

    Megnyílik a feladatok listája.

  2. Kattintson a Kaspersky Endpoint Security IOC scan feladatára.

    Megnyílik a feladatok tulajdonságai ablak.

  3. Válassza ki az Application settings lapot.
  4. Menjen az IOC scan settings részre.
  5. Az IOC-észlelésre vonatkozó műveletek konfigurálása:
    • Move copy to Quarantine, delete object. Ha ezt az opciót választja, a Kaspersky Endpoint Security törli a számítógépen talált rosszindulatú objektumot. Az objektum törlése előtt a Kaspersky Endpoint Security biztonsági másolatot készít arra az esetre, ha az objektumot később vissza kell állítani. A Kaspersky Endpoint Security a biztonsági másolatot karanténba helyezi.
    • Run scan of critical areas. Ha ezt az opciót választja, a Kaspersky Endpoint Security futtatja a Kritikus területek vizsgálata feladatot. A Kaspersky Endpoint Security alapértelmezés szerint a rendszermag memóriáját, a futó folyamatokat és a lemez rendszerindító szektorait vizsgálja.
  6. Konfigurálja az IOC vizsgálati feladat futtatási módját a Run only when the computer is idle jelölőnégyzettel. Ez a jelölőnégyzet ki- és bekapcsolja az IOC vizsgálat feladatot felfüggesztő funkciót, ha a számítógép erőforrásai korlátozottak. A Kaspersky Endpoint Security a képernyőkímélő kikapcsolásakor és a számítógép feloldásakor szünetelteti az IOC vizsgálat feladatot.

    Ez az ütemezési beállítás lehetővé teszi a számítógép erőforrásainak energiatakarékos használatát működés közben.

  7. Mentse el a módosításokat.

A feladat eredményeit a feladat tulajdonságaiban tekintheti meg az Results szakaszban. Az észlelt biztonsági sérülési indikátorokra vonatkozó információkat a feladat tulajdonságaiban tekintheti meg: Application settingsIOC Scan Results.

Az IOC vizsgálat eredményeinek megőrzése 30 napig történik. Ezt követően a Kaspersky Endpoint Security automatikusan törli a legrégebbi bejegyzéseket.

Oldal tetejére