Recherche d'indicateurs de compromission (tâche standard)

Un indicateur de compromission (IOC) est un ensemble de données concernant un objet ou une activité qui indique un accès non autorisé à l'ordinateur (compromission des données). Par exemple, de nombreuses tentatives infructueuses de se connecter au système peuvent constituer un indicateur de compromission. La tâche Analyse IOC permet de trouver des indicateurs de compromission sur l'ordinateur et de prendre des mesures de réponse aux menaces.

Kaspersky Endpoint Security recherche les indicateurs de compromission à l'aide des fichiers IOC. Les fichiers IOC sont des fichiers contenant les ensembles d'indicateurs que l'application tente de faire correspondre pour compter une détection. Les fichiers IOC doivent être conformes standard OpenIOC.

Mode d'exécution de la tâche Analyse IOC

Kaspersky Endpoint Detection and Response vous permet de créer des tâches standard d'analyse IOC pour détecter les données compromises. La tâche standard d'analyse IOC est une tâche de groupe ou locale qui est créée et configurée manuellement dans Web Console. Les tâches sont exécutées à l'aide de fichiers IOC préparés par l'utilisateur. Si vous souhaitez ajouter un indicateur de compromission manuellement, veuillez lire les exigences relatives aux fichiers IOC.

Le fichier que vous pouvez télécharger via le lien ci-dessous contient une table reprenant la liste complète des termes IOC de la norme OpenIOC.

TÉLÉCHARGER LE FICHIER IOC_TERMS.XLSX

Kaspersky Endpoint Security prend également en charge les tâches autonomes d'analyse IOC lorsque l'application est utilisée dans le cadre de la solution Kaspersky Sandbox.

Création d'un fichier IOC

À compter de Kaspersky Endpoint Security 12.10 for Windows, vous pouvez créer des fichiers IOC directement dans les paramètres de la tâche. Pour créer un fichier IOC, vous devez préparer un fichier TXT avec une liste d'indicateurs de compromission. Vous pouvez ajouter des listes avec les objets suivants en tant qu'indicateurs de compromission :

Comment créer un fichier IOC dans Web Console

Création d'une tâche Analyse IOC

Vous pouvez créer des tâches Analyse IOC manuellement :

Vous pouvez configurer la tâche pour EDR Optimum dans Web Console et Cloud Console. Les paramètres des tâches pour EDR Expert sont disponibles uniquement dans Cloud Console.

Pour créer une tâche Analyse IOC, procédez comme suit :

  1. Dans la fenêtre principale de Web Console, sélectionnez Ressources (Appareils)Tâches.

    La liste des tâches s'ouvre.

  2. Cliquez sur Ajouter.

    L'Assistant de création de tâche démarre.

  3. Configurez les paramètres de la tâche :
    1. Dans la liste déroulante Application, choisissez Kaspersky Endpoint Security for Windows (12.10.0).
    2. Dans la liste déroulante Type de tâche, choisissez Analyse IOC.
    3. Dans le champ Nom de la tâche, saisissez une courte description.
    4. Dans le groupe Appareils auxquels la tâche sera affectée, sélectionnez la zone d'action de la tâche.
  4. Sélectionnez les appareils conformément à l'option choisie de la zone d'action de la tâche. Passez à l'étape suivante.
  5. Saisissez les informations d'identification du compte de l'utilisateur dont vous souhaitez utiliser les droits pour exécuter la tâche. Passez à l'étape suivante.

    Par défaut, Kaspersky Endpoint Security lance la tâche en tant que compte utilisateur du système (SYSTEM).

    Le compte système (SYSTEM) n'a pas l'autorisation d'exécuter la tâche Analyse IOC sur les disques réseau. Si vous voulez exécuter la tâche pour un disque réseau, sélectionnez le compte d'un utilisateur qui a accès à ce disque.

    Pour les tâches autonomes d'analyse IOC sur des disques réseau, dans les propriétés de la tâche, vous devez sélectionner manuellement dans les propriétés le compte utilisateur qui a accès à ce lecteur.

  6. Quittez l'Assistant.

    La nouvelle tâche apparaît dans la liste des tâches.

  7. Cliquez sur la nouvelle tâche.

    La fenêtre des propriétés de la tâche s'ouvre.

  8. Sélectionnez l'onglet Paramètres de l'application.
  9. Passez à la section Paramètres de l'analyse IOC.
  10. Chargez les fichiers IOC pour rechercher des indicateurs de compromission.

    Une fois les fichiers IOC chargés, l'application affiche un résumé des informations relatives au fichier, y compris la liste des indicateurs qui n'ont pas réussi la vérification. Après avoir téléchargé les fichiers IOC, vous pouvez modifier les fichiers manuellement dans l'éditeur intégré directement dans les propriétés de la tâche. Kaspersky Endpoint Security prend en charge l'édition des fichiers IOC conformes à la norme OpenIOC 1.1. La modification des fichiers OpenIOC 1.0 n'est pas possible.

    Kaspersky Endpoint Security ajoute les fichiers IOC à la collection IOC. Le cas échéant, vous pouvez exclure temporairement les fichiers IOC de la zone d'action de la tâche.

    Il n'est pas recommandé d'ajouter ou de supprimer des fichiers IOC après l'exécution de la tâche. Cela peut entraîner un affichage incorrect des résultats de l'analyse IOC pour les exécutions précédentes de la tâche. Pour rechercher des indicateurs de compromission par nouveaux fichiers IOC, il est recommandé d'ajouter de nouvelles tâches.

  11. Configurez les actions à effectuer en cas de détection d'IOC :
    • Isoler l'ordinateur du réseau. Si cette option est sélectionnée, Kaspersky Endpoint Security isole l'ordinateur du réseau afin d'empêcher la propagation de la menace. Vous pouvez configurer la durée de l'isolation dans les paramètres du module Endpoint Detection and Response.

      Si cette case est décochée, vous pouvez isoler l'ordinateur du réseau après avoir exécuté la tâche manuellement. Si la tâche Analyse IOC détecte un IOC, vous pouvez isoler l'ordinateur du réseau directement à partir de l'IOC (propriétés de la tâche Analyse IOC → Paramètres de l'application → Résultats de l'analyse IOC). Kaspersky Endpoint Security permet également de gérer immédiatement des paramètres supplémentaires : Période de désactivation de l'isolation du réseau et Exclusions d'isolation du réseau.

    • Placer la copie en Quarantaine, supprimer l'objet. Si cette option est sélectionnée, Kaspersky Endpoint Security supprime l'objet malveillant trouvé sur l'ordinateur. Avant de supprimer l'objet, Kaspersky Endpoint Security crée une copie de sauvegarde au cas où l'objet devrait être restauré ultérieurement. Kaspersky Endpoint Security déplace la copie de sauvegarde dans la Quarantaine.

      Si cette case est décochée, vous pouvez mettre le fichier en quarantaine manuellement après avoir exécuté la tâche manuellement. Si la tâche Analyse IOC détecte un fichier qui peut compromettre les données, vous pouvez mettre ce fichier en quarantaine directement à partir des résultats de l'analyse IOC (Paramètres de l'application → Résultats de l'analyse IOC). Kaspersky Endpoint Security lance alors l'assistant de création de la tâche avec les données prédéfinies du fichier détecté. Il vous suffit de gérer les paramètres supplémentaires de la tâche, par exemple, configurer la planification de la tâche.

    • Lancer l'Analyse des zones critiques. Si cette option est sélectionnée, Kaspersky Endpoint Security exécute la tâche Analyse des zones critiques. Par défaut, Kaspersky Endpoint Security analyse la mémoire du noyau, les processus lancés et les secteurs d'amorçage.
  12. Passez à la section Avancé.
  13. Sélectionnez les types de données (documents IOC) qui doivent être analysés dans le cadre de la tâche.

    Kaspersky Endpoint Security sélectionne automatiquement les types de données (documents IOC) pour la tâche Analyse IOC conformément au contenu des fichiers IOC chargés. Il est déconseillé de désélectionner les types de données.

    Vous pouvez également configurer les zone d'analyse pour les types de données suivants :

    • Fichiers - FileItem. Définissez une zone d'analyse IOC sur l'ordinateur à l'aide de zones prédéfinies.

      Par défaut, Kaspersky Endpoint Security recherche les IOC uniquement dans les zones importantes de l'ordinateur comme le dossier Téléchargements, le bureau, le dossier des fichiers temporaires du système d'exploitation, etc. Vous pouvez également ajouter manuellement la zone d'analyse.

    • Journaux d'événements Windows – EventLogItem. Saisissez la période pendant laquelle les événements ont été consignés. Vous pouvez également sélectionner les journaux des événements Windows à utiliser pour l'analyse IOC. Par défaut, les journaux des événements suivants sont sélectionnés : journal des événements des applications, journal des événements du système et journal des événements de sécurité.
    • Registre Windows - RegistryItem. Configurez la zone d'analyse IOC dans le registre.

      Par défaut, Kaspersky Endpoint Security analyse un ensemble de clés de registre.

  14. Dans la fenêtre des propriétés des tâches, sélectionnez l'onglet Programmation.
  15. Programmez l'exécution de la tâche.

    La fonctionnalité Wake-on-LAN n'est pas disponible pour cette tâche. Assurez-vous que l'ordinateur est allumé pour exécuter la tâche.

  16. Enregistrez vos modifications.
  17. Cochez la case en regard de la tâche.
  18. Cliquez sur Démarrer.

Ainsi, Kaspersky Endpoint Security lance la recherche d'indicateurs de compromission sur l'ordinateur. Vous pouvez consulter les résultats de la tâche dans les propriétés de la tâche dans la section Résultats. Vous pouvez consulter les informations relatives aux indicateurs de compromission détectés dans les propriétés de la tâche : Paramètres de l'applicationRésultats de l'analyse IOC. Dans les résultats de l'analyse IOC, vous pouvez aussi manuellement mettre en quarantaine le fichier détecté ou isoler l'ordinateur du réseau.

Les résultats de l'analyse IOC sont conservés pendant 30 jours. А̀ l'issue de cette période, Kaspersky Endpoint Security supprime automatiquement les enregistrements les plus anciens.

Haut de page