Scannen op indicatoren van compromis (standaard taak).

Een Indicator of Compromise (IOC) is een set gegevens over een object of activiteit die wijst op onbevoegde toegang tot de computer (compromittering van gegevens). Vele mislukte aanmeldingen bij het systeem kunnen bijvoorbeeld een Indicator of Compromise zijn. Met de IOC-scantaken kunnen Indicators of Compromise op de computer worden gevonden en maatregelen als respons op deze dreiging worden genomen.

Kaspersky Endpoint Security zoekt Indicators of Compromise met behulp van IOC-bestanden. IOC-bestanden zijn bestanden die de verzameling indicatoren bevatten aan de hand waarvan het programma op zoek gaat naar hits die kunnen duiden op een dreiging. IOC-bestanden moet voldoen aan de OpenIOC-norm.

Uitvoermodus van IOC-scantaak

Met Kaspersky Endpoint Detection and Response kunt u standaard IOC-scantaken creëren om gegevens te detecteren. De standaard IOC-scantaak is een groepstaak of lokale taak die handmatig is gemaakt en geconfigureerd in de Webconsole. De taken worden uitgevoerd met IOC-bestanden die door de gebruiker zijn voorbereid. Als u handmatig een indicator van een compromis wilt toevoegen, leest u de vereisten voor IOC-bestanden.

Het bestand dat u kunt downloaden door op de onderstaande koppeling te klikken, bevat een tabel met de volledige lijst met IOC-voorwaarden van de OpenIOC-norm.

IOC_TERMS.XLSX DOWNLOADEN

Kaspersky Endpoint Security ondersteunt ook alleenstaande IOC-scantasken wanneer het programma gebruikt wordt als onderdeel van de oplossing Kaspersky Sandbox.

Zo maakt u een IOC-scantaak

U kunt IOC Scantaken handmatig maken:

• Details in waarschuwing (alleen voor EDR Optimum).

  Detectiegegevens zijn een hulpmiddel waar alle verzamelde informatie over een gedetecteerde dreiging zichtbaar is. Deze detectiegegevens bevatten bijvoorbeeld de geschiedenis van bestanden die op de computer terechtkomen. Voor details over het beheren van detectiegegevens, raadpleegt u de Help van Kaspersky Endpoint Detection and Response Optimum en de Help van Kaspersky Endpoint Detection and Response Expert.

• Met de taakwizard.

U kunt de taak configureren voor EDR Optimum in Webconsole en Cloud Console. Taakinstellingen voor EDR Expert zijn alleen beschikbaar in Cloud Console.

Zo maakt u een IOC-scantaak:

1. Selecteer in het hoofdvenster van de webconsole achtereenvolgens Devices → Tasks.

   De lijst met taken wordt geopend.

2. Klik op de knop Add.

   De wizard Taak wordt gestart.

3. Configureer de taakinstellingen:
   1. Selecteer in de vervolgkeuzelijst Application de optie Kaspersky Endpoint Security for Windows (11.11.0).
   2. Selecteer in de vervolgkeuzelijst Task type de optie IOC Scan.
   3. Typ in het veld Task name een korte omschrijving.
   4. Selecteer in het gedeelte Select devices to which the task will be assigned het bereik van de taak.
4. Selecteer apparaten naargelang de geselecteerde optie voor het bereik van de taak. Ga naar de volgende stap.
5. Voer de accountgegevens in van de gebruiker wiens rechten u wilt gebruiken om de taak uit te voeren. Ga naar de volgende stap.

   Standaard start Kaspersky Endpoint Security de taak met het gebruikersaccount van het systeem (SYSTEM).

   De systeemaccount (SYSTEM) heeft geen machtiging om de IOC Scantaak uit te voeren op netwerkstations. Als u de taak wilt starten voor een netwerkschijf, selecteert u het account van een gebruiker die toegang heeft tot die schijf.

   Voor zelfstandige IOC-scantaken op netwerkstations moet u in de taakeigenschappen handmatig het gebruikersaccount selecteren dat toegang heeft tot dit station.

6. Verlaat de wizard verlaten.

   U ziet een nieuwe taak in de lijst met taken.

7. Klik op de nieuwe taak.

   U ziet nu het venster met de taakeigenschappen.

8. Selecteer het tabblad Application settings.
9. Ga naar het gedeelte IOC scan settings.
10. Laad de IOC-bestanden om Indicators of Compromise te zoeken.

    Nadat de IOC-bestanden zijn geladen, kunt u de lijst met indicatoren van de IOC-bestanden bekijken.

    Het toevoegen of verwijderen van IOC-bestanden nadat de taak is uitgevoerd, wordt niet aanbevolen. Dit kan ertoe leiden dat de IOC-scanresultaten onjuist worden weergegeven voor eerdere uitvoeringen van de taak. Om indicatoren van compromis door nieuwe IOC-bestanden te zoeken, wordt aanbevolen om nieuwe taken toe te voegen.

11. Configureer acties bij de detectie van IOC's:
    • Isolate computer from the network. Als deze optie is geselecteerd, isoleert Kaspersky Endpoint Security de computer van het netwerk zodat de dreiging zich niet kan verspreiden. U kunt in de instellingen van het onderdeel Endpoint Detection and Response de duur van de isolatie configureren.
    • Move copy to Quarantine, delete object. Als deze optie is geselecteerd, verwijdert Kaspersky Endpoint Security het schadelijke object dat op de computer is gevonden. Voordat het object wordt verwijderd, maakt Kaspersky Endpoint Security een back-up voor het geval dat het object later moet worden teruggezet. Kaspersky Endpoint Security plaatst de back-up in Quarantaine.
    • Run scan of critical areas. Als deze optie is geselecteerd, start Kaspersky Endpoint Security de taak Kritieke Gebiedenscan. Standaard scant Kaspersky Endpoint Security het kernelgeheugen, actieve processen en de opstartsectoren van de schijf.
12. Ga naar het gedeelte Advanced.
13. Selecteer gegevenstypen (IOC-documenten) die als onderdeel van de taak moeten worden geanalyseerd.

    Kaspersky Endpoint Security selecteert automatisch gegevenstypen (IOC-documenten) voor de IOC-scantaak overeenkomstig de inhoud van geladen IOC-bestanden. Gegevenstypen deselecteren wordt niet aanbevolen.

    U kunt aanvullende scanbereiken voor de volgende gegevenstypen configureren:

    • Files - FileItem. Stel een IOC-scanbereik op de computer in met vooraf ingestelde bereiken.

      Kaspersky Endpoint Security scant standaard alleen op IOC's in belangrijke delen van de computer, zoals de map Downloads, het bureaublad, de map met tijdelijke besturingssysteembestanden, enz. U kunt het scanbereik ook handmatig toevoegen.

    • Windows event logs - EventLogItem. Voer de periode in wanneer de gebeurtenissen zijn geregistreerd. U kunt ook selecteren welke Windows-gebeurtenislogboeken moeten worden gebruikt voor IOC-scannen. Standaard worden de volgende gebeurtenislogboeken geselecteerd: programmagebeurtenislogboek, systeemgebeurtenislogboek en beveiligingsgebeurtenislogboek.

    Voor het gegevenstype Windows registry - RegistryItem scant Kaspersky Endpoint Security een reeks registersleutels.

14. Selecteer het tabblad Schedule in het venster met taakeigenschappen.
15. Configureer het taakschema.

    Wake-on-LAN is niet beschikbaar voor deze taak. Zorg ervoor dat de computer is ingeschakeld om de taak uit te voeren.

16. Sla uw wijzigingen op.
17. Schakel het selectievakje naast de taak in.
18. Klik op de knop Run.

Kaspersky Endpoint Security begint nu te zoeken naar Indicators of Compromise op de computer. U kunt de resultaten van de taak bekijken in de taakeigenschappen in het gedeelte Results. U kunt informatie over gedetecteerde Indicators of Compromise bekijken in de taakeigenschappen: Application settings → IOC Scan Results.

De resultaten van een IOC-scan worden 30 dagen bewaard. Na die tijd worden de oudste gegevens automatisch verwijderd door Kaspersky Endpoint Security.

Naar boven