الفحص للبحث عن مؤشرات الاختراق (مهمة قياسية).

مؤشر الاختراق (IOC) عبارة عن مجموعة من البيانات حول كائن أو نشاط يشير إلى وصول غير مصرح به إلى الكمبيوتر (اختراق البيانات). على سبيل المثال، من الممكن أن تشكل العديد من المحاولات الفاشلة لتسجيل الدخول إلى النظام مؤشرًا على الاختراق. تتيح مهمة فحص IOC العثور على مؤشرات الاختراق على الكمبيوتر واتخاذ إجراءات الاستجابة للتهديدات.

يبحث Kaspersky Endpoint Security عن مؤشرات الاختراق باستخدام ملفات IOC.‏ ملفات IOC هي ملفات تحتوي على مجموعات المؤشرات التي يحاول التطبيق مطابقتها لإحصاء الاكتشاف. ويجب أن تتوافق ملفات مؤشر الاختراق (IOC) مع معيار OpenIOC.‏

وضع تشغيل مهمة فحص IOC

يتيح لك Kaspersky Endpoint Detection and Response إنشاء مهام فحص IOC قياسية لاكتشاف البيانات المخترقة. مهمة فحص IOC القياسية هي مجموعة أو مهمة محلية يتم إنشاؤها وتكوينها يدويًا في Web Console. ويتم تشغيل المهام باستخدام ملفات مؤشر الاختراق (IOC) التي أعدها المستخدم. وإذا كنت ترغب في إضافة مؤشر الاختراق يدويًا، فيرجى قراءة متطلبات ملفات مؤشر الاختراق (IOC).‏

يحتوي الملف الذي يمكنك تنزيله بالنقر فوق الارتباط أدناه على جدول يحتوي على قائمة كاملة بشروط IOC لمعيار OpenIOC.‏

تنزيل ملف ‏DOWNLOAD THE IOC_TERMS.XLSX‏

يدعم Kaspersky Endpoint Security أيضًا مهام مسح IOC المستقلة عند استخدام التطبيق كجزء من حل Kaspersky Sandbox.‏

إنشاء ملف مؤشرات الاختراق

بدءًا من Kaspersky Endpoint Security 12.10 for Windows، يمكنك إنشاء دليل ملفات مؤشرات الاختراق في إعدادات المهمة. لإنشاء ملف مؤشرات الاختراق، يجب عليك تحضير ملف TXT مع قائمة بمؤشرات الاختراق. ويمكنك إضافة قوائم بالكائنات التالية كمؤشرات اختراق:

• تجزئات الملف (MD5 / SHA256).‏

  يجهز التطبيق ملف مؤشرات الاختراق مع نطاق فحص ‎FileItem/Md5sum‎ أو ‎FileItem/Sha256sum‎.‏

• عناوين IP ‏(IPv4، ‏IPv6).‏

  يجهز التطبيق ملف مؤشرات الاختراق مع نطاق فحص ‎PortItem/RemoteIP‎.‏

• أسماء DNS.‏

  يجهز التطبيق ملف مؤشرات الاختراق مع نطاق فحص ‎DnsEntryItem/RecordName‎.‏

كيفية إنشاء مؤشرات الاختراق في Web Console‏

إنشاء مهمة فحص IOC

تستطيع إنشاء مهام فحص IOC يدويًا:

• في تفاصيل التنبيه (لتطبيق EDR Optimum فقط).

  تفاصيل الاكتشاف عبارة عن أداة لعرض كامل المعلومات التي تم جمعها حول التهديد المكتشف. وتتضمن تفاصيل الاكتشاف، على سبيل المثال، محفوظات الملفات التي تظهر على الكمبيوتر. وللحصول على التفاصيل عن إدارة تفاصيل الاكتشاف، يرجى الرجوع إلى تعليمات Kaspersky Endpoint Detection and Response Optimum‏ و‏تعليمات Kaspersky Endpoint Detection and Response Expert‏.‏

• استخدام معالج المهام.

يمكنك تكوين مهمة EDR Optimum في Web Console وCloud Console. وتتوفر إعدادات مهام EDR Expert فقط في Cloud Console.‏

لإنشاء مهمة فحص IOC:

1. في النافذة الرئيسية لـ Web Console، حدد Assets (Devices) ← Tasks.‏

   تفتح قائمة المهام.

2. انقر على Add.‏

   يبدأ معالج المهمة.

3. تكوين إعدادات المهمة:
   1. في القائمة المنسدلة Application حدد Kaspersky Endpoint Security for Windows (12.10.0).
   2. في القائمة المنسدلة Task type حدد IOC Scan.
   3. في الحقل Task name، أدخل وصفًا مختصرًا.
   4. في القسم Devices to which the task will be assigned، حدد نطاق المهمة.
4. حدد الأجهزة وفقًا لخيار نطاق المهمة المحدد. انتقل إلى الخطوة التالية.
5. أدخل بيانات اعتماد حساب المستخدم الذي تريد استخدام حقوقه لتشغيل المهمة. انتقل إلى الخطوة التالية.

   افتراضيًا، يبدأ Kaspersky Endpoint Security المهمة كحساب مستخدم للنظام (SYSTEM).‏

   لا يمتلك حساب النظام (SYSTEM) إذنًا لأداء مهمة فحص IOC على محركات أقراص الشبكة. وإذا كنت تريد تشغيل المهمة لمحرك أقراص الشبكة، فحدد حساب المستخدم الذي يمتلك حق الوصول إلى محرك الأقراص هذا.

   لمهام فحص IOC المستقلة على محركات أقراص الشبكة، في خصائص المهمة، تحتاج إلى تحديد حساب المستخدم الذي يمتلك حق الوصول إلى محرك الأقراص هذا يدويًا.

6. أغلق المعالج.

   سيتم عرض مهمة جديدة في قائمة المهام.

7. انقر فوق المهمة الجديدة.

   نافذة خصائص المهمة.

8. حدد علامة التبويب Application settings.
9. انتقل إلى القسم IOC Scan settings.‏
10. قم بتحميل ملفات مؤشرات الاختراق للبحث عن مؤشرات الاختراق.

    بعد تحميل ملفات مؤشرات الاختراق، يعرض التطبيق معلومات موجزة عن الملف، بما في ذلك قائمة المؤشرات التي لم تجتز الفحص. بعد تحميل ملفات مؤشرات الاختراق، يمكنك تحرير الملفات يدويًا في المحرر المدمج مباشرة في خصائص المهمة. ويدعم Kaspersky Endpoint Security تحرير ملفات مؤشرات الاختراق المتوافقة مع معيار OpenIOC 1.1. ولا يمكن تحرير ملفات OpenIOC 1.0.

    يضيف Kaspersky Endpoint Security ملفات مؤشرات الاختراق إلى مجموعة مؤشرات الاختراق. وإذا لزم الأمر، يمكنك استثناء ملفات مؤشرات الاختراق مؤقتًا من نطاق المهمة.

    لا يوصى بإضافة ملفات IOC أو إزالتها بعد تشغيل المهمة. ومن الممكن أن يتسبب هذا في عرض نتائج فحص IOC بشكل غير صحيح لعمليات التشغيل السابقة للمهمة. وللبحث في مؤشرات الاختراق حسب ملفات IOC الجديدة، يوصى بإضافة مهام جديدة.

11. تكوين الإجراءات عند اكتشاف IOC:‏
    • Isolate computer from the network. في حالة تحديد هذا الخيار، يعزل Kaspersky Endpoint Security الكمبيوتر من الشبكة لمنع انتشار التهديد. ويمكنك تكوين مدة العزل في إعدادات مكون Endpoint Detection and Response .‏

      في حالة إلغاء تحديد خانة الاختيار هذه، يمكنك عزل الكمبيوتر عن الشبكة بعد تشغيل المهمة يدويًا. وإذا اكتشفت مهمة فحص IOC مؤشر اختراق، يمكنك عزل الكمبيوتر عن الشبكة مباشرة من مؤشر الاختراق (خصائص فحص IOC ← Application settings ← مهمة IOC Scan results ). ويتيح Kaspersky Endpoint Security أيضًا إدارة الإعدادات الإضافية على الفور: فترة تعطيل عزل الشبكة واستثناءات عزل الشبكة.

    • Move copy to Quarantine, delete object. في حالة تحديد هذا الخيار، يحذف Kaspersky Endpoint Security الكائن الضار الموجود على الكمبيوتر. قبل حذف الكائن، يُنشئ Kaspersky Endpoint Security نسخة احتياطية في حالة الحاجة إلى استعادة الكائن لاحقًا. ينقل Kaspersky Endpoint Security النسخة الاحتياطية إلى العزل.

      في حالة إلغاء تحديد خانة الاختيار هذه، يمكنك عزل الملف يدويًا بعد تشغيل المهمة يدويًا. إذا اكتشفت مهمة فحص IOC ملفًا يمكن أن يعرض البيانات للخطر، ويمكنك عزل هذا الملف مباشرةً من نتائج فحص مؤشرات الاختراق (Application settings ← IOC Scan results).‏ ونتيجة لذلك، يبدأ Kaspersky Endpoint Security معالج إنشاء المهام ببيانات محددة مسبقًا للملف المكتشف. ولست بحاجة سوى إدارة إعدادات المهام الإضافية، على سبيل المثال، إعداد جدول المهام.

    • Run Critical Areas Scan. في حالة تحديد هذا الخيار، يُشغل Kaspersky Endpoint Security مهمة فحص المناطق الحرجة. بشكلٍ افتراضي، يفحص Kaspersky Endpoint Security ذاكرة kernel والعمليات قيد التشغيل وقطاعات تمهيد القرص.
12. انتقل إلى القسم Advanced.‏
13. حدد أنواع البيانات (مستندات IOC) التي يجب تحليلها كجزء من المهمة.

    يحدد Kaspersky Endpoint Security تلقائيًا أنواع البيانات (مستندات IOC) لمهمة فحص IOC وفقًا لمحتوى ملفات IOC الذي تم تحميله. ولا يوصى بإلغاء تحديد أنواع البيانات.

    يمكنك أيضًا تكوين نطاقات الفحص لأنواع البيانات التالية:

    • Files - FileItem.‏ قم بتعيين نطاق فحص IOC على الكمبيوتر باستخدام نطاقات محددة مسبقًا.

      بشكل افتراضي، يبحث Kaspersky Endpoint Security عن مهام IOC فقط في المناطق المهمة على الكمبيوتر، مثل مجلد التنزيلات وسطح المكتب والمجلد الذي يحتوي على ملفات نظام التشغيل المؤقتة، وما إلى ذلك. ويمكنك أيضًا إضافة نطاق الفحص يدويًا.

    • Windows event logs - EventLogItem. أدخل الفترة الزمنية التي تم تسجيل الأحداث فيها. يمكنك أيضًا تحديد سجلات أحداث Windows التي يجب استخدامها لفحص IOC. وبشكل افتراضي، يتم تحديد سجلات الأحداث التالية: سجل أحداث التطبيق وسجل أحداث النظام وسجل أحداث الأمان.
    • Windows registry - RegistryItem. كوّن نطاق فحص مؤشرات الاختراق في التسجيل.

      بشكل افتراضي، يفحص Kaspersky Endpoint Security مجموعة من مفاتيح التسجيل.‏

14. من نافذة خصائص الكمبيوتر، حدد علامة التبويب Schedule.‏
15. تكوين جدول المهمة.

    لا يتوفر التشغيل عن بُعد عبر الشبكة المحلية لهذه المهمة. تأكد من تشغيل الكمبيوتر لتشغيل المهمة.

16. احفظ تغييراتك.
17. حدد خانة الاختيار المجاورة للمهمة.
18. انقر على Start.

نتيجة لذلك، يقوم Kaspersky Endpoint Security بتشغيل البحث عن مؤشرات الاختراق على الكمبيوتر. ويمكنك عرض نتائج المهمة في خصائص المهمة في القسم Results. ويمكنك عرض المعلومات حول المؤشرات المكتشفة للاختراق في خصائص المهمة: Application settings ← IOC Scan results.‏ في نتائج فحص مؤشرات الاختراق، يمكنك أيضًا عزل الملف المكتشف أو عزل الكمبيوتر عن الشبكة يدويًا.

يتم الاحتفاظ بنتائج فحص IOC لمدة 30 يومًا. وبعد هذه الفترة، يحذف برنامج Kaspersky Endpoint Security تلقائيًا الإدخالات القديمة.

أعلى الصفحة