Untersuchung auf Kompromittierungsindikatoren (Standardaufgabe)

Ein Kompromittierungsindikator (IOC) ist ein Datensatz, der sich auf ein Objekt oder eine Aktivität bezieht und der auf unbefugten Zugriff auf den Computer (Kompromittierung von Daten) hinweist. Beispielsweise können viele erfolglose Versuche, sich beim System anzumelden, einen Kompromittierungsindikator darstellen. Mithilfe der Aufgabe IOC-Untersuchung können Kompromittierungsindikatoren auf dem Computer gefunden und Maßnahmen zur Reaktion auf Bedrohungen ergreifen werden.

Kaspersky Endpoint Security sucht mithilfe von IOC-Dateien nach Kompromittierungsindikatoren. IOC-Dateien sind Dateien, die Sätze von Indikatoren enthalten, mit denen die Anwendung nach Übereinstimmungen sucht. IOC-Dateien müssen dem OpenIOC-Standard entsprechen.

Ausführungsmodus der Aufgabe IOC-Untersuchung

Mit „Kaspersky Endpoint Detection and Response“ können Sie standardmäßige IOC-Untersuchungsaufgaben erstellen, um kompromittierte Daten zu erkennen. Eine Standard-IOC-Untersuchungsaufgabe ist eine Gruppenaufgabe oder lokale Aufgabe, die manuell über die „Web Console“ erstellt und konfiguriert wird. Aufgaben werden unter Verwendung von IOC-Dateien ausgeführt, die vom Benutzer erstellt wurden. Wenn Sie einen Kompromittierungsindikator manuell hinzufügen möchten, lesen Sie bitte die Anforderungen für IOC-Dateien.

Die Datei, die Sie über den unten stehenden Link herunterladen können, enthält eine Tabelle mit einer vollständigen Liste der IOC-Bedingungen gemäß OpenIOC-Standard.

DATEI IOC_TERMS.XLSX HERUNTERLADEN

Kaspersky Endpoint Security unterstützt eigenständige IOC-Untersuchungsaufgaben auch, wenn die Anwendung als Teil der Lösung Kaspersky Sandbox verwendet wird.

IOC-Datei erstellen

Ab Kaspersky Endpoint Security 12.10 für Windows können Sie IOC-Dateien direkt in den Aufgabeneinstellungen erstellen. Um eine IOC-Datei zu erstellen, müssen Sie eine txt-Datei mit einer Liste von Kompromittierungsindikatoren erstellen. Sie können Listen mit den folgenden Objekte als Kompromittierungsindikatoren hinzufügen:

• Datei-Hashes (MD5/SHA256).

  Das Programm erstellt eine IOC-Datei mit dem Untersuchungsbereich FileItem/Md5sum oder FileItem/Sha256sum.

• IP-Adressen (IPv4, IPv6).

  Das Programm erstellt eine IOC-Datei mit dem Untersuchungsbereich PortItem/RemoteIP.

• DNS-Namen.

  Das Programm erstellt eine IOC-Datei mit dem Untersuchungsbereich DnsEntryItem/RecordName.

So erstellen Sie eine IOC-Datei (in der Web Console)

Aufgabe IOC-Untersuchung erstellen

Sie können Aufgaben des Typs IOC-Untersuchung manuell erstellen:

• In den Alarm-Details (nur für „EDR Optimum“).

  Alarm-Details ist ein Tool, mit dem alle über eine erkannte Bedrohung gesammelten Informationen angezeigt werden können. Zu den Alarm-Details gehört beispielsweise der Verlauf der auf dem Computer angezeigten Dateien. Einzelheiten zur Verwaltung der Alarm-Details finden Sie in der Hilfe zu „Kaspersky Endpoint Detection and Response Optimum“ und in der Hilfe zu „Kaspersky Endpoint Detection and Response Expert“.

• Mithilfe des Assistenten für das Erstellen einer Aufgabe.

Sie können die Aufgabe für „EDR Optimum“ über „Web Console“ und „Cloud Console“ konfigurieren. Die Aufgabeneinstellungen für „EDR Expert“ sind nur in „Cloud Console“ verfügbar.

Um die Aufgabe IOC-Untersuchung zu erstellen:

1. Wählen Sie im „Web Console“-Hauptfenster den Punkt Assets (Geräte) → Aufgaben aus.

   Die Aufgabenliste wird geöffnet.

2. Klicken Sie auf Hinzufügen.

   Der Assistent für neue Aufgaben wird gestartet.

3. Passen Sie die Einstellungen der Aufgabe an:
   1. Wählen Sie in der Dropdown-Liste Programm die Option Kaspersky Endpoint Security für Windows (12.10.0).
   2. Wählen Sie in der Dropdown-Liste Aufgabentyp die Option IOC-Untersuchung.
   3. Geben Sie im Feld Aufgabenname eine kurze Beschreibung ein.
   4. Wählen Sie im Block Geräte, denen die Aufgabe zugewiesen wird den Aufgabenbereich aus.
4. Wählen Sie die Geräte aus. Berücksichtigen Sie dabei die ausgewählte Variante für den Gültigkeitsbereich der Aufgabe. Weiter zum nächsten Schritt
5. Geben Sie die Anmeldedaten für das Konto des Benutzers ein, mit dessen Rechten Sie die Aufgabe ausführen möchten. Weiter zum nächsten Schritt

   Standardmäßig führt Kaspersky Endpoint Security die Aufgabe unter dem Systembenutzerkonto (SYSTEM) aus.

   Das Systemkonto (SYSTEM) hat keine Berechtigung, die Aufgabe IOC-Untersuchung auf Netzlaufwerken auszuführen. Wenn Sie die Aufgabe für ein Netzlaufwerk ausführen möchten, wählen Sie das Konto eines Benutzers aus, der Zugriff auf dieses Laufwerk hat.

   Für eigenständige IOC-Untersuchungsaufgaben auf Netzlaufwerken müssen Sie in den Aufgabeneigenschaften manuell das Benutzerkonto auswählen, das Zugriff auf dieses Laufwerk hat.

6. Schließen Sie den Assistenten ab.

   Die neue Aufgabe wird in der Aufgabenliste angezeigt.

7. Klicken Sie auf die neue Aufgabe.

   Das Fenster mit den Aufgabeneigenschaften wird geöffnet.

8. Wählen Sie die Registerkarte Programmeinstellungen aus.
9. Wechseln Sie zum Abschnitt IOC-Untersuchungseinstellungen.
10. Laden Sie die IOC-Dateien hoch, um nach Kompromittierungsindikatoren zu suchen.

    Nachdem Sie die IOC-Dateien hochgeladen haben, zeigt das Programm eine Übersicht über die Datei an. Dazu gehört auch eine Liste der Indikatoren, die die Überprüfung nicht bestanden haben. Nachdem Sie IOC-Dateien hochgeladen haben, können Sie die Dateien im integrierten Editor direkt in den Aufgabeneigenschaften manuell bearbeiten. Kaspersky Endpoint Security unterstützt die Bearbeitung von IOC-Dateien, die dem OpenIOC 1.1-Standard entsprechen. OpenIOC 1.0-Dateien können nicht bearbeitet werden.

    Kaspersky Endpoint Security fügt IOC-Dateien zu der IOC-Sammlung hinzu. Bei Bedarf können Sie IOC-Dateien vorübergehend aus dem Aufgabenbereich ausschließen.

    Es wird davon abgeraten, IOC-Dateien nach dem Ausführen der Aufgabe hinzuzufügen oder zu entfernen. Die Folge könnte sein, dass die IOC-Untersuchungsergebnisse für eine zuvor ausgeführte Aufgabe fehlerhaft angezeigt werden. Um Kompromittierungsindikatoren für neue IOC-Dateien zu suchen, wird empfohlen, neue Aufgaben hinzuzufügen.

11. Passen Sie die Aktionen bei der IOC-Erkennung an:
    • Computer vom Netzwerk isolieren. Wenn diese Option ausgewählt ist, isoliert Kaspersky Endpoint Security den Computer vom Netzwerk, um eine Ausbreitung der Bedrohung zu verhindern. Die Isolationsdauer können Sie in den Einstellungen der Komponente „Endpoint Detection and Response“ anpassen.

      Wenn dieses Kontrollkästchen deaktiviert ist, können Sie den Computer vom Netzwerk isolieren, nachdem Sie die Aufgabe manuell ausgeführt haben. Wenn von der Aufgabe IOC-Untersuchung ein IOC gefunden wird, können Sie den Computer direkt über den IOC vom Netzwerk isolieren (Eigenschaften der Aufgabe IOC-Untersuchung → Programmeinstellungen → IOC-Untersuchungsergebnisse). In Kaspersky Endpoint Security können Sie auch die folgenden zusätzliche Einstellungen sofort anpassen: Zeitraum bis zum Aufheben der Netzwerkisolation sowie Ausnahmen für die Netzwerkisolation.

    • Kopie in die Quarantäne verschieben, Objekt löschen. Wenn diese Option ausgewählt ist, löscht Kaspersky Endpoint Security das auf dem Computer gefundene schädliche Objekt. Bevor das Objekts gelöscht wird, erstellt Kaspersky Endpoint Security eine Backup-Kopie für den Fall, dass das Objekt später wiederhergestellt werden muss. Kaspersky Endpoint Security verschiebt die Backup-Kopie in die Quarantäne.

      Wenn dieses Kontrollkästchen deaktiviert ist, können Sie die Datei manuell in die Quarantäne verschieben, nachdem Sie die Aufgabe manuell ausgeführt haben. Wenn von der Aufgabe IOC-Untersuchung eine Datei gefunden wird, die Daten kompromittieren kann, können Sie diese Datei direkt über die IOC-Untersuchungsergebnisse in die Quarantäne verschieben (Programmeinstellungen → IOC-Untersuchungsergebnisse). Daraufhin startet Kaspersky Endpoint Security den Assistenten für neue Aufgaben und füllt die Daten der gefundenen Datei automatisch aus. Sie müssen nur die zusätzlichen Aufgabeneinstellungen verwalten, z. B. einen Aufgabenzeitplan einrichten.

    • Untersuchung wichtiger Bereiche ausführen. Wenn diese Option ausgewählt ist, führt Kaspersky Endpoint Security die Untersuchung wichtiger Bereiche aus. Kaspersky Endpoint Security untersucht standardmäßig den Kernel-Speicher, die laufenden Prozesse und die Bootsektoren.
12. Wechseln Sie zum Abschnitt Erweitert.
13. Wählen Sie die Datentypen (IOC-Dokumente) aus, die im Rahmen der Aufgabe analysiert werden sollen.

    Kaspersky Endpoint Security wählt automatisch Datentypen (IOC-Dokumente) für die Aufgabe IOC-Untersuchung aus, wobei der Inhalt der geladenen IOC-Dateien berücksichtigt wird. Es wird nicht empfohlen, die Auswahl von Datentypen aufzuheben.

    Sie können zusätzlich Scanbereiche für die folgenden Datentypen konfigurieren:

    • Dateien – FileItem. Legen Sie einen IOC-Scanbereich auf dem Computer über voreingestellte Bereiche fest.

      Standardmäßig untersucht Kaspersky Endpoint Security nur wichtige Bereiche des Computers auf IOCs. Dazu gehören beispielsweise der Ordner „Downloads“, der Desktop und der Ordner mit temporären Betriebssystemdateien. Sie können den Untersuchungsbereich auch manuell anpassen.

    • Windows-Ereignisprotokolle – EventLogItem. Geben Sie den Zeitraum ein, in dem die Ereignisse protokolliert wurden. Außerdem können Sie auswählen, welche Windows-Ereignisprotokolle für die IOC-Untersuchung verwendet werden sollen. Standardmäßig sind die folgenden Ereignisprotokolle ausgewählt: Anwendungsereignisprotokoll, Systemereignisprotokoll und Sicherheitsereignisprotokoll.
    • Windows-Registrierung – RegistryItem. Konfigurieren Sie den Bereich für die IOC-Untersuchung in der Registrierung.

      Standardmäßig untersucht Kaspersky Endpoint Security eine Auswahl von Registrierungsschlüsseln.

14. Wählen Sie im Eigenschaftenfenster der Aufgabe die Registerkarte Zeitplan aus.
15. Passen Sie den Zeitplan für die Aufgabe an.

    Wake-On-LAN ist für diese Aufgabe nicht verfügbar. Stellen Sie sicher, dass der Computer eingeschaltet ist, damit die Aufgabe ausgeführt werden kann.

16. Speichern Sie die vorgenommenen Änderungen.
17. Aktivieren Sie das Kontrollkästchen neben der Aufgabe.
18. Klicken Sie auf Starten.

Daraufhin durchsucht Kaspersky Endpoint Security den Computer nach Kompromittierungsindikatoren. Die Ergebnisse der Aufgabe können Sie in den Aufgabeneigenschaften im Abschnitt Ergebnisse einsehen. Sie können die Informationen zu erkannten Kompromittierungsindikatoren in den Aufgabeneigenschaften anzeigen: Programmeinstellungen → IOC-Untersuchungsergebnisse. In den Ergebnissen der IOC-Untersuchung können Sie die gefundene Datei auch manuell in die Quarantäne verschieben oder den Computer manuell vom Netzwerk isolieren.

IOC-Untersuchungsergebnisse werden für 30 Tage gespeichert. Nach diesem Zeitraum löscht Kaspersky Endpoint Security automatisch die ältesten Einträge.

Nach oben