Analizar en busca de indicadores de compromiso (tarea estándar)

Un Indicador de compromiso (IOC) es un conjunto de datos sobre un objeto o una actividad que indica acceso no autorizado al equipo (compromiso de datos). Por ejemplo, muchos intentos fallidos de iniciar sesión en el sistema pueden constituir un indicador de compromiso. La tarea Análisis de IOC permite encontrar indicadores de compromiso en el equipo y tomar medidas de respuesta ante amenazas.

Kaspersky Endpoint Security busca indicadores de compromiso mediante el uso de archivos de IOC. Los Archivos de IOC son archivos que contienen los conjuntos de indicadores que la aplicación intenta hacer coincidir para contar una detección. Los archivos de IOC deben cumplir con el estándar OpenIOC.

Modo de ejecución de la tarea de Análisis de IOC

Kaspersky Endpoint Detection and Response le permite crear tareas de análisis de IOC estándar para detectar datos en peligro. Tarea de Análisis de IOC estándar es una tarea grupal o local que se crea y configura manualmente en Web Console. Las tareas se ejecutan mediante el uso de archivos de IOC preparados por el usuario. Si desea agregar un indicador de compromiso de forma manual, lea los requisitos para archivos de IOC.

El archivo que puede descargar haciendo clic en el siguiente vínculo, contiene una tabla con la lista completa de términos IOC del estándar OpenIOC.

DESCARGAR EL ARCHIVO IOC_TERMS.XLSX

Kaspersky Endpoint Security también admite tareas de análisis de IOC independientes cuando la aplicación se utiliza como parte de la solución Kaspersky Sandbox.

Creación de un archivo de IOC

A partir de Kaspersky Endpoint Security 12.10 para Windows, puede crear archivos de IOC directamente en la configuración de la tarea. Para crear un archivo de IOC, debe preparar un archivo TXT que contenga una lista de indicadores de compromiso. Puede agregar listas de los siguientes objetos como indicadores de compromiso:

Cómo crear un archivo de IOC en Web Console

Crear una tarea de Análisis de IOC

Puede crear tareas de Análisis de IOC manualmente:

Puede configurar la tarea para EDR Optimum en Web Console y Cloud Console. La configuración de la tarea para EDR Expert está disponible solo en Cloud Console.

Para crear una tarea de Análisis de IOC:

  1. En la ventana principal de Web Console, seleccione Activos (dispositivos)Tareas.

    Se abre la lista de tareas.

  2. Haga clic en Agregar.

    Se inicia el Asistente de tareas.

  3. Configure los parámetros de la tarea:
    1. En la lista desplegable Aplicación, seleccione Kaspersky Endpoint Security para Windows (12.10.0).
    2. En la lista desplegable Tipo de tarea, seleccione Análisis de IOC.
    3. En el campo Nombre de la tarea, escriba una descripción breve.
    4. En el bloque Dispositivos a los que se asignará la tarea, seleccione el alcance de la tarea.
  4. Seleccione los dispositivos de acuerdo con la opción de alcance de la tarea seleccionada. Vaya al siguiente paso.
  5. Ingrese las credenciales de la cuenta del usuario cuyos derechos desea usar para ejecutar la tarea. Vaya al siguiente paso.

    De forma predeterminada, Kaspersky Endpoint Security inicia la tarea como la cuenta de usuario del sistema (SYSTEM).

    La cuenta del sistema (SYSTEM) no tiene permiso para ejecutar las tareas de Análisis de IOC en las unidades de red. Si desea ejecutar la tarea para una unidad de red, seleccione la cuenta de un usuario que tenga acceso a dicha unidad.

    En el caso de las tareas independientes de análisis de IOC en unidades de red, es necesario seleccionar manualmente la cuenta de usuario que tiene acceso a esta unidad en las propiedades de la tarea.

  6. Salga del Asistente.

    La nueva tarea aparecerá en la lista de tareas.

  7. Haga clic en la tarea nueva.

    Se abre la ventana de propiedades de la tarea.

  8. Seleccione la ficha Configuración de la aplicación.
  9. Vaya a la sección Configuración de Análisis de IOC.
  10. Cargue los archivos de IOC para buscar indicadores de compromiso.

    Después de cargar los archivos de IOC, la aplicación muestra un resumen de la información sobre el archivo, incluida la lista de indicadores que no aprobaron la verificación. Después de cargar los archivos de IOC, puede editarlos de forma manual en el editor incorporado directamente en las propiedades de la tarea. Kaspersky Endpoint Security admite la edición de archivos de IOC que cumplen con el estándar OpenIOC 1.1. No es posible editar archivos de OpenIOC 1.0.

    Kaspersky Endpoint Security agrega archivos de IOC a la colección IOC. Si es necesario, puede excluir de forma temporal los archivos de IOC del alcance de la tarea.

    No se recomienda agregar o eliminar archivos de IOC después de ejecutar la tarea. Esto puede hacer que los resultados del análisis de IOC se muestren de manera incorrecta para ejecuciones anteriores de la tarea. Para buscar indicadores de compromiso en archivos IOC nuevos, se recomienda agregar nuevas tareas.

  11. Configure las acciones al detectar un IOC:
    • Aislar el equipo de la red. Si esta opción está seleccionada, Kaspersky Endpoint Security aísla el equipo de la red para evitar que la amenaza se propague. Puede configurar la duración del aislamiento en Configuración del componente Endpoint Detection and Response.

      Si esta casilla está desactivada, puede aislar el equipo de la red después de ejecutar la tarea de forma manual. Si la tarea Análisis de IOC detecta un IOC, puede aislar el equipo de la red directamente desde el IOC (propiedades de la tarea Análisis de IOC → Configuración de la aplicación → Resultados del Análisis de IOC). Kaspersky Endpoint Security también permite administrar configuraciones adicionales de inmediato: Período de deshabilitación del aislamiento de la red y exclusiones del aislamiento de la red.

    • Mover la copia a la Cuarentena, eliminar objeto. Si esta opción está seleccionada, Kaspersky Endpoint Security elimina el objeto malicioso que se encuentra en el equipo. Antes de eliminar el objeto, Kaspersky Endpoint Security crea una copia de seguridad en caso de que sea necesario restaurar el objeto más adelante. Kaspersky Endpoint Security mueve la copia de seguridad a Cuarentena.

      Si esta casilla está desactivada, puede poner el archivo en cuarentena después de ejecutar la tarea de forma manual. Si la tarea Análisis de IOC detecta un archivo que puede poner en riesgo los datos, puede poner este archivo en cuarentena directamente desde los resultados del análisis de IOC (Configuración de la aplicación → Resultados del Análisis de IOC). Entonces, Kaspersky Endpoint Security inicia el asistente de creación de tareas e incluye los datos del archivo detectado. Solo necesita administrar configuraciones de tareas adicionales, por ejemplo, configurar la programación de tareas.

    • Ejecutar análisis de áreas críticas. Si esta opción está seleccionada, Kaspersky Endpoint Security ejecuta la tarea Análisis de áreas críticas. De forma predeterminada, Kaspersky Endpoint Security analiza la memoria del kernel, los procesos en ejecución y los sectores de inicio del disco.
  12. Vaya a la sección Avanzado.
  13. Seleccione los tipos de datos (documentos IOC) que deben analizarse como parte de la tarea.

    Kaspersky Endpoint Security selecciona automáticamente los tipos de datos (documentos de IOC) para la tarea de Análisis de IOC de acuerdo con el contenido de los archivos de IOC cargados. No se recomienda anular la selección de los tipos de datos.

    Además, puede configurar los alcances del análisis de los siguientes tipos de datos:

    • Archivos: FileItem. Configure un alcance del análisis de IOC en el equipo mediante el uso de los alcances predefinidos.

      De manera predeterminada, Kaspersky Endpoint Security analiza IOC solo en áreas importantes del equipo, como la carpeta de descargas, el escritorio, la carpeta con archivos temporales del sistema operativo, etc. También se puede agregar manualmente al alcance del análisis.

    • Registros de eventos de Windows: EventLogItem. Ingrese el período de tiempo en el que se registraron los eventos. También puede seleccionar qué registros de eventos de Windows se deben utilizar para realizar el análisis de IOC. De manera predeterminada, están seleccionados los siguientes registros de eventos: registro de eventos de la aplicación, registro de eventos del sistema y registro de eventos de seguridad.
    • Registro de Windows: RegistryItem. Configure el alcance del Análisis de IOC en el registro.

      De forma predeterminada, Kaspersky Endpoint Security analiza un conjunto de claves de registro.

  14. En la ventana de propiedades de la tarea, seleccione la pestaña Programación.
  15. Configure la programación de la tarea.

    Wake-on-LAN no está disponible para esta tarea. Asegúrese de que el equipo esté encendido para ejecutar la tarea.

  16. Guarde los cambios.
  17. Active la casilla ubicada junto a la tarea.
  18. Haga clic en Iniciar.

De esta manera, Kaspersky Endpoint Security ejecuta la búsqueda de indicadores de compromiso en el equipo. Puede ver los resultados de la tarea en las propiedades de la tarea en la sección Resultados. Puede ver la información sobre los indicadores de compromiso detectados en las propiedades de la tarea: Configuración de la aplicaciónResultados del Análisis de IOC. Desde los resultados del Análisis de IOC, también puede poner en cuarentena el archivo detectado o aislar el equipo de la red de forma manual.

Los resultados del análisis de IOC se mantienen durante 30 días. Después de ese plazo, Kaspersky Endpoint Security elimina automáticamente las entradas más antiguas.

Inicio de página