Vyhledávání indikátorů narušení (standardní úloha)

Indikátor narušení (IOC) je sada dat o objektu nebo činnosti, která indikuje neoprávněný přístup k počítači (narušení dat). Indikátor narušení může například představovat mnoho neúspěšných pokusů o přihlášení do systému. Úloha Kontrola IOC umožňuje v počítači najít tyto indikátory narušení a přijmout opatření jako reakci na hrozby.

Kaspersky Endpoint Security vyhledává indikátory narušení pomocí souborů IOC. Soubory IOC jsou soubory obsahující sady indikátorů, které se aplikace pokusí porovnat, aby započítala detekci. Soubory IOC musí odpovídat standardu OpenIOC.

Režim spuštění úlohy Kontrola IOC

Kaspersky Endpoint Detection and Response vám umožňuje vytvářet standardní úlohy kontroly IOC a zjišťovat tak data, u nichž došlo k narušení. Standardní úloha kontroly IOC je skupinová nebo místní úloha, která je vytvořena a nakonfigurována ručně ve webové konzole. Úlohy se spouštějí pomocí souborů IOC připravených uživatelem. Chcete-li přidat indikátor narušení ručně, přečtěte si požadavky na soubory IOC.

Soubor, který si můžete stáhnout kliknutím na níže uvedený odkaz, obsahuje tabulku s úplným seznamem podmínek IOC standardu OpenIOC.

STAŽENÍ SOUBORU IOC_TERMS.XLSX

Kaspersky Endpoint Security také podporuje samostatné úlohy kontroly IOC, když je aplikace používána jako součást řešení Kaspersky Sandbox.

Vytvoření souboru IOC

Počínaje aplikací Kaspersky Endpoint Security 12.10 pro systém Windows můžete soubory IOC vytvářet přímo v nastavení úlohy. Chcete-li vytvořit soubor IOC, musíte si připravit soubor TXT se seznamem indikátorů narušení. Jako indikátory narušení můžete přidat seznamy následujících objektů:

• Hodnoty hash souborů (MD5/SHA256).

  Aplikace připraví soubor IOC s rozsahem kontroly FileItem/Md5sum nebo FileItem/Sha256sum.

• IP adresy (IPv4, IPv6).

  Aplikace připraví soubor IOC s rozsahem kontroly PortItem/RemoteIP.

• Názvy DNS.

  Aplikace připraví soubor IOC s rozsahem kontroly DnsEntryItem/RecordName.

Jak vytvořit úlohu IOC ve webové konzole

Vytvoření úlohy Kontrola IOC

Úlohy Kontrola IOC můžete vytvářet ručně:

• V podrobnostech o výstraze (pouze EDR Optimum).

  Podrobnosti o výsledcích detekce je nástroj pro prohlížení všech shromážděných informací o detekované hrozbě. Mezi výsledky detekce patří například historie souborů objevujících se v počítači. Podrobnosti o správě podrobností o výsledcích detekce najdete v nápovědě k řešení Kaspersky Endpoint Detection and Response Optimum a nápovědě k řešení Kaspersky Endpoint Detection and Response Expert.

• Používání průvodce úlohami.

Úlohu pro EDR Optimum můžete nakonfigurovat ve webové konzole a v cloudové konzole. Nastavení úloh pro nástroj EDR Expert je k dispozici pouze v cloudové konzole.

Postup vytvoření úlohy Kontrola IOC:

1. V hlavním okně webové konzoly vyberte možnosti Assets (Devices) → Tasks.

   Otevře se seznam úloh.

2. Klikněte na tlačítko Add.

   Spustí se průvodce úlohou.

3. Konfigurace nastavení úlohy:
   1. V rozevíracím seznamu Application vyberte možnost Kaspersky Endpoint Security for Windows (12.10.0).
   2. V rozevíracím seznamu Task type vyberte možnost IOC Scan.
   3. Do pole Task name zadejte krátký popis.
   4. V bloku Devices to which the task will be assigned vyberte rozsah úlohy.
4. Vyberte zařízení podle vybrané možnosti rozsahu úlohy. Přejděte k dalšímu kroku.
5. Zadejte přihlašovací údaje účtu uživatele, jehož práva chcete použít ke spuštění úlohy. Přejděte k dalšímu kroku.

   Ve výchozím nastavení aplikace Kaspersky Endpoint Security spouští úlohu jako systémový uživatelský účet (SYSTEM).

   Systémový účet (SYSTEM) nemá oprávnění k provádění úloh Kontrola IOC na síťových jednotkách. Pokud chcete spustit úlohu pro síťovou jednotku, vyberte účet uživatele, který má k této jednotce přístup.

   U samostatných úloh Kontrola IOC u síťových jednotek musíte v nastavení úlohy ručně vybrat uživatelský účet, který má přístup k této jednotce.

6. Ukončete průvodce.

   V seznamu úloh se zobrazí nová úloha.

7. Klikněte na novou úlohu.

   Otevře se okno vlastností úlohy.

8. Vyberte kartu Application settings.
9. Přejděte do části IOC Scan settings.
10. Nahrajte soubory IOC a vyhledejte indikátory narušení.

    Po nahrání souborů IOC aplikace zobrazí souhrnné informace o souboru včetně seznamu indikátorů, které neprošly kontrolou. Po nahrání souborů IOC můžete soubory ručně upravit v integrovaném editoru přímo ve vlastnostech úlohy. Kaspersky Endpoint Security podporuje úpravy souborů IOC, které jsou v souladu se standardem OpenIOC 1.1. Úpravy souborů OpenIOC 1.0 nejsou možné.

    Kaspersky Endpoint Security přidá soubory IOC do kolekce IOC. V případě potřeby můžete z rozsahu úlohy dočasně vyloučit soubory IOC.

    Přidávání nebo odstraňování souborů IOC po spuštění úlohy se nedoporučuje. Může to způsobit nesprávné zobrazení výsledků kontroly IOC pro předchozí spuštění úlohy. Pro vyhledávání indikátorů narušení pomocí nových souborů IOC se doporučuje přidat nové úlohy.

11. Konfigurace akcí při detekci IOC:
    • Isolate computer from the network. Pokud je vybrána tato možnost, aplikace Kaspersky Endpoint Security izoluje počítač od sítě, aby se zabránilo šíření hrozby. Dobu izolace můžete nakonfigurovat v nastavení součásti Endpoint Detection and Response.

      Není-li toto políčko zaškrtnuto, můžete po ručním spuštění úlohy izolovat počítač od sítě. Pokud úloha Kontrola IOC zjistí IOC, můžete počítač izolovat od sítě přímo z IOC (vlastnosti úlohy Kontrola IOC → Application settings → IOC Scan results). Aplikace Kaspersky Endpoint Security také umožňuje okamžitou správu dalších nastavení: Doba zakázání izolace od sítě a Výjimky z izolace od sítě.

    • Move copy to Quarantine, delete object. Pokud je vybrána tato možnost, aplikace Kaspersky Endpoint Security odstraní škodlivý objekt nalezený v počítači. Před odstraněním objektu vytvoří aplikace Kaspersky Endpoint Security záložní kopii pro případ, že bude nutné objekt později obnovit. Kaspersky Endpoint Security přesune záložní kopii do karantény.

      Není-li toto políčko zaškrtnuto, můžete soubor do karantény umístit ručně po ručním spuštění úlohy. Pokud úloha Kontrola IOC zjistí soubor, který může ohrozit data, můžete tento soubor umístit do karantény přímo ve výsledcích kontroly IOC (Application settings → IOC Scan results). Aplikace Kaspersky Endpoint Security tak spustí průvodce vytvořením úlohy s přednastavenými údaji o zjištěném souboru. Musíte pouze spravovat další nastavení úlohy, například nastavit plán úlohy.

    • Run Critical Areas Scan. Pokud je vybrána tato možnost, aplikace Kaspersky Endpoint Security spustí úlohu Kontrola kritických oblastí. Ve výchozím nastavení aplikace Kaspersky Endpoint Security kontroluje paměť jádra, spuštěné procesy a spouštěcí sektory disků.
12. Přejděte do části Advanced.
13. Vyberte datové typy (dokumenty IOC), které je třeba analyzovat jako součást úlohy.

    Aplikace Kaspersky Endpoint Security automaticky vybírá datové typy (dokumenty IOC) pro úlohu Kontrola IOC v souladu s obsahem nahrávaných souborů IOC. Nedoporučujeme výběr datových typů rušit.

    Kromě toho můžete nakonfigurovat rozsahy kontroly pro následující datové typy:

    • Files - FileItem. Rozsah kontroly IOC v počítači nastavíte pomocí přednastavených rozsahů.

      Aplikace Kaspersky Endpoint Security standardně při kontrole vyhledává IOC pouze v důležitých oblastech počítače, jako je složka Stažené soubory, plocha, složka s dočasnými soubory operačního systému atd. Rozsah kontroly můžete také ručně přidat.

    • Windows event logs - EventLogItem. Zadejte časové období, kdy byly události protokolovány. Můžete také vybrat, které protokoly událostí systému Windows mají být používány pro kontroly IOC. Ve výchozím nastavení jsou vybrány tyto protokoly událostí: protokol událostí aplikace, protokol událostí systému a protokol událostí zabezpečení.
    • Windows registry - RegistryItem. Nakonfigurujte rozsah kontroly IOC v registru.

      Ve výchozím nastavení aplikace Kaspersky Endpoint Security kontroluje sadu klíčů registru.

14. V okně vlastností úlohy vyberte kartu Schedule.
15. Nakonfigurujte plán úloh.

    Funkce Wake-on-LAN není u této úlohy k dispozici. Aby bylo možné úlohu spustit, musí být počítač zapnutý.

16. Uložte změny.
17. Zaškrtněte políčko vedle úlohy.
18. Klikněte na tlačítko Start.

Aplikace Kaspersky Endpoint Security tak spustí v počítači hledání indikátorů narušení. Výsledky úlohy můžete zobrazit ve vlastnostech úlohy v části Results. Informace o zjištěných indikátorech narušení můžete zobrazit ve vlastnostech úlohy: Application settings → IOC Scan results. Ve výsledcích kontroly IOC můžete také ručně umístit zjištěný soubor do karantény nebo izolovat počítač od sítě.

Výsledky kontroly IOC jsou uchovávány po dobu 30 dní. Po této době bude aplikace Kaspersky Endpoint Security automaticky odstraňovat nejstarší záznamy.

Začátek stránky