Skanowanie pod kątem wskaźników naruszeń bezpieczeństwa (IOC)

Wskaźnik naruszeń bezpieczeństwa (IOC) to zestaw danych dotyczących obiektu lub aktywności, która wskazuje nieautoryzowany dostęp do komputera (naruszenie bezpieczeństwa danych). Na przykład, wiele niepomyślnych prób zalogowania do systemu może stanowić wskaźnik naruszeń bezpieczeństwa. Zadania Skanowanie IOC umożliwiają odszukanie wskaźników naruszeń bezpieczeństwa na komputerze i podejmują środki reakcji na zagrożenia.

Kaspersky Endpoint Security wyszukuje wskaźniki naruszeń bezpieczeństwa przy użyciu plików IOC Pliki IOC to pliki zawierające zestawy wskaźników, które aplikacja próbuje dopasować w celu policzenia wykryć. Pliki IOC muszą pasować do standardu OpenIOC. Kaspersky Endpoint Security automatycznie tworzy pliki IOC i zezwala na załadowanie plików IOC przygotowanych przez użytkownika. Jeśli chcesz ręcznie dodać wskaźnik naruszenia bezpieczeństwa, zapoznaj się z wymaganiami plików IOC.

Plik, który możesz pobrać, klikając poniższy odnośnik, zawiera tabelę z pełną listą warunków IOC standardu OpenIOC, który jest obsługiwany przez rozwiązanie Kaspersky Endpoint Detection and Response.

POBIERZ PLIK IOC_TERMS.XLSX

Tryby uruchamiania zadania Skanowanie IOC

Kaspersky Endpoint Security umożliwia uruchomienie Skanowania IOC w następujących trybach:

• Standardowe zadanie skanowania IOC to zadanie grupowe lub lokalne, które jest tworzone i skonfigurowane ręcznie w konsoli Web Console. Zadania są uruchamiane przy użyciu plików IOC przygotowanych przez użytkownika.
• Autonomiczne zadanie skanowania IOC to zadanie grupowe, które jest tworzone automatycznie podczas reagowania na zagrożenie wykryte przez Kaspersky Sandbox. Kaspersky Endpoint Security automatycznie generuje plik IOC. Niestandardowe pliki IOC nie są obsługiwane. Zadania są automatycznie usuwane w ciągu siedmiu dni od ostatniego uruchomienia lub utworzenia, jeśli zadanie nie zostało nigdy uruchomione. Więcej informacji o autonomicznych zadaniach skanowania IOC możesz znaleźć w pomocy dla Kaspersky Sandbox.

Uruchamia zadanie skanowania IOC

Kaspersky Sandbox może tworzyć zadania Skanowanie IOC automatycznie po reakcji na zagrożenia. W Kaspersky Endpoint Detection and Response Optimum możesz tylko ręcznie tworzyć zadania Skanowanie IOC.

Możesz ręcznie utworzyć zadania Skanowanie IOC:

• W szczegółach wykrycia.

  Szczegóły wykrycia to narzędzie do przeglądania całości zebranych informacji o wykrytym zagrożeniu i zarządzaniu działaniami odpowiedzi. Szczegóły wykrycia obejmują, na przykład, historię plików pojawiających się na komputerze. Więcej informacji o zarządzaniu szczegółami wykrycia można znaleźć w pomocy do Kaspersky Endpoint Detection and Response Optimum.

• Korzystanie z Kreatora tworzenia zadania.

Możesz skonfigurować ustawienia tylko w Web Console.

Aby utworzyć autonomiczne zadania Skanowanie IOC w celu reakcji na zagrożenia, wymagany jest program Kaspersky Security Center w wersji 13.2.

W celu utworzenia zadania Skanowanie IOC:

1. W oknie głównym Web Console wybierz Urządzenia → Zadania.

   Zostanie otwarta lista zadań.

2. Kliknij przycisk Dodaj.

   Zostanie uruchomiony Kreator tworzenia zadania.

3. Skonfiguruj ustawienia zadania:
   1. Na liście rozwijalnej Aplikacja wybierz Kaspersky Endpoint Security for Windows (11.7.0).
   2. Na liście rozwijanej Typ zadania wybierz Skanowanie IOC.
   3. W polu Nazwa zadania wpisz krótki opis.
   4. W sekcji Wybierz urządzenia, do których zadanie zostanie przypisane wybierz obszar zadania.
4. Wybierz urządzenia zgodnie z opcją wybranego obszaru zadania. Kliknij przycisk Dalej.
5. Wprowadź poświadczenia konta użytkownika, którego uprawnień chcesz użyć do uruchomienia zadania. Kliknij przycisk Dalej.

   Domyślnie, Kaspersky Endpoint Security uruchamia zadanie jako konto użytkownika systemu (SYSTEM).

   Konto systemowe (SYSTEM) nie posiada uprawnienia do wykonywania zadania Skanowanie IOC na dyskach sieciowych. Jeśli chcesz uruchomić zadanie dla dysku sieciowego, wybierz konto użytkownika, który posiada dostęp do tego dysku.

   W przypadku autonomicznych zadań Skanowanie IOC na dyskach sieciowych, we właściwościach zadania należy ręcznie wybrać konto użytkownika, które ma dostęp do tego dysku.

6. Zakończ działanie kreatora, klikając przycisk Zakończ.

   Nowe zadanie zostanie wyświetlone na liście zadań.

7. Kliknij nowe zadanie.

   Zostanie otwarte okno właściwości zadania.

8. Wybierz zakładkę Ustawienia aplikacji.
9. Przejdź do sekcji Ustawienia skanowania IOC.
10. Wczytaj pliki IOC, aby wyszukać wskaźniki naruszeń bezpieczeństwa.

    Po załadowaniu plików IOC, możesz przejrzeć listę wskaźników z plików IOC. Jeśli to konieczne, możesz tymczasowo wykluczyć pliki IOC z obszaru zadania.

    Dodanie lub usunięcie plików IOC po uruchomieniu zadania nie jest zalecane. To może spowodować niepoprawne wyświetlenie wyników skanowania IOC przed wcześniejszymi uruchomieniami zadania. Aby wyszukać wskaźniki naruszeń bezpieczeństwa przez nowe pliki IOC, zalecane jest dodanie nowych zadań.

11. Skonfiguruj akcje po wykryciu IOC:
    • Odizoluj komputer od sieci. Jeśli ta opcja jest zaznaczona, Kaspersky Endpoint Security odizoluje komputer od sieci, aby zapobiec rozprzestrzenianiu się zagrożenia. Możesz skonfigurować czas trwania izolacji w ustawieniach komponentu Endpoint Detection and Response.
    • Przenieś kopię do Kwarantanny, usuń obiekt. Jeśli ta opcja została zaznaczona, Kaspersky Endpoint Security usunie szkodliwy obiekt wykryty na komputerze. Przed usunięciem obiektu Kaspersky Endpoint Security utworzy kopię zapasową w przypadku, gdy obiekt musi zostać przywrócony w późniejszym czasie. Kaspersky Endpoint Security przeniesie kopię zapasową do Kwarantanny.
    • Uruchom skanowanie obszarów krytycznych. Jeśli ta opcja jest zaznaczona, Kaspersky Endpoint Security uruchamia zadanie Skanowanie obszarów krytycznych. Domyślnie, Kaspersky Endpoint Security skanuje pamięć jądra, uruchomione procesy i sektory startowe dysku.
12. Przejdź do sekcji Zaawansowane.
13. Wybierz typy danych (dokumenty IOC), które muszą zostać przeanalizowane jako część zadania.

    Kaspersky Endpoint Security automatycznie wybiera typy danych (dokumenty IOC) dla zadania Skanowanie IOC zgodnie z zawartością załadowanych plików IOC. Nie jest zalecane odznaczenie typów danych.

    Dodatkowo możesz skonfigurować obszary skanowania dla następujących typów danych:

    • Pliki - FileItem. Ustaw obszar skanowania IOC na komputerze przy użyciu predefiniowanych obszarów.

      Domyślnie, Kaspersky Endpoint Security skanuje pod kątem wskaźników naruszeń bezpieczeństwa tylko ważne obszary komputera, takie jak folder Pobrane, pulpit, folder z tymczasowymi plikami systemu operacyjnego itd. Możesz także ręcznie dodać obszar skanowania.

    • Dziennik zdarzeń Windows - EventLogItem. Wprowadź czas zarejestrowania zdarzeń. Możesz także wybrać dzienniki zdarzeń Windows dla skanowania IOC: dziennik zdarzeń aplikacji, dziennik zdarzeń systemu i dziennik zdarzeń ochrony.

    Dla typów danych Rejestr Windowsa - RegistryItem Kaspersky Endpoint Security skanuje zestaw kluczy rejestru.

14. Kliknij przycisk Zapisz.
15. Zaznacz pole obok zadania.
16. Kliknij przycisk Uruchom.

W rezultacie Kaspersky Endpoint Security uruchamia wyszukiwanie wskaźników naruszeń bezpieczeństwa na komputerze. Możesz przejrzeć wyniki zadania we właściwościach zadania, w sekcji Wyniki. Informacje o wykrytych wskaźnikach naruszeń bezpieczeństwa możesz przejrzeć we właściwościach zadania: Ustawienia aplikacji → Wyniki skanowania IOC.

Wyniki skanowania IOC są przechowywane 30 dni. Po tym czasie Kaspersky Endpoint Security automatycznie usuwa najstarsze wpisy.

Przejdź do góry