Biztonsági sérülési indikátorok vizsgálata (szabványos feladat)

A biztonsági sérülési indikátor (IOC) egy olyan objektumra vagy tevékenységre vonatkozó adathalmaz, amely jogosulatlan hozzáférést jelez a számítógéphez (adatok veszélyeztetése). Például sok sikertelen bejelentkezési kísérlet a rendszerbe biztonsági sérülésre utalhat. Az IOC vizsgálat feladat lehetővé teszi a biztonsági sérülési indikátorok (IOC) megtalálását a számítógépen, valamint biztosítja a fenyegetésre reagáló intézkedések megtételét.

A Kaspersky Endpoint Security IOC-fájlok segítségével keresi a biztonsági sérülés indikátorait. Az IOC-fájlok olyan fájlok, amelyek az indikátorkészleteket tartalmazzák, és amelyekkel az alkalmazás egyezést próbál találni észlelés esetén. Az IOC-fájloknak meg kell felelniük az OpenIOC szabványnak.

Az IOC vizsgálat feladat futtatási módja

A Kaspersky Endpoint Detection and Response lehetővé teszi a standard IOC vizsgálati feladatok létrehozását a feltört adatok észleléséhez. A Szabványos IOC vizsgálati feladat egy olyan csoportos vagy helyi feladat, amelyet manuálisan hoznak létre és konfigurálnak a Web Console-ban. A feladatok a felhasználó által előkészített IOC-fájlok használatával futnak. Ha manuálisan szeretne hozzáadni egy biztonsági sérülési indikátort, olvassa el az IOC-fájlokra vonatkozó követelményeket.

Az alábbi hivatkozásra kattintva letölthető fájl egy táblázatot tartalmaz az OpenIOC szabvány IOC-feltételeinek teljes listájával.

TÖLTSE LE AZ IOC_TERMS.XLSX FÁJLT

A Kaspersky Endpoint Security támogatja az önálló IOC vizsgálati feladatokat is, ha az alkalmazást a Kaspersky Sandbox megoldás részeként használják.

IOC-fájl létrehozása

A Kaspersky Endpoint Security 12.10 for Windows verziótól kezdve az IOC-fájlokat közvetlenül a feladatbeállításokban hozhatja létre. IOC-fájl létrehozásához el kell készítenie egy TXT-fájlt a fertőzöttségi mutatók listájával. A következő objektumok listáját adhatja hozzá fertőzöttségi mutatóként:

• Fájlkivonatok (MD5 / SHA256).

  Az alkalmazás előkészít egy IOC-fájlt FileItem/Md5sum vagy FileItem/Sha256sum vizsgálati hatókörrel.

• IP-címek (IPv4, IPv6).

  Az alkalmazás előkészít egy IOC-fájlt PortItem/RemoteIP vizsgálati hatókörrel.

• DNS-nevek.

  Az alkalmazás előkészít egy IOC-fájlt DnsEntryItem/RecordName vizsgálati hatókörrel.

IOC-fájl létrehozása a Web Console-on

IOC vizsgálati feladat létrehozása

Az IOC vizsgálat feladatokat manuálisan hozhatja létre:

• A riasztás részleteiben (csak az EDR Optimum esetében).

  Az Észlelés részletei egy eszköz az észlelt fenyegetéssel kapcsolatos összesített információk megtekintésére. Az észlelési részletek közé tartoznak például a számítógépen megjelenő fájlok előzményei. Az észlelések kezelésével kapcsolatos részleteket a Kaspersky Endpoint Detection and Response Optimum súgóban és a Kaspersky Endpoint Detection and Response Expert súgóban találja.

• A Feladat varázsló használata.

Az EDR Optimum feladatát a Web Console-on és a Cloud Console-on konfigurálhatja. Az EDR Expert feladatbeállításai csak a Cloud Console-ban érhetők el.

IOC vizsgálati feladat létrehozása:

1. A Web Console fő ablakában válassza a Assets (Devices) → Tasks lehetőséget.

   Megnyílik a feladatok listája.

2. Kattintson az Add gombra.

   Elindul a Feladatvarázsló.

3. Adja meg a feladatok beállításait:
   1. Az Application legördülő listából válassza ki a Kaspersky Endpoint Security for Windows (12.10.0) elemet.
   2. A Task type legördülő listából válassza ki az IOC vizsgálat lehetőséget.
   3. A Task name mezőben adjon meg egy rövid leírást.
   4. A Devices to which the task will be assigned blokkban válassza ki a feladathatókört.
4. Válassza ki az eszközöket a kiválasztott feladat hatókör lehetőséghez. Lépjen a következő lépésre.
5. Adja meg azon felhasználó fiókjának hitelesítő adatait, akinek jogait használni kívánja a feladat futtatásához. Lépjen a következő lépésre.

   Alapértelmezés szerint a Kaspersky Endpoint Security rendszerfelhasználóként (SYSTEM) indítja el a feladatot.

   A rendszerfiók (SYSTEM) nem rendelkezik jogosultsággal az IOC Scan feladat végrehajtásához a hálózati meghajtókon. Ha a feladatot hálózati meghajtón szeretné futtatni, válassza ki annak a felhasználónak a fiókját, aki hozzáfér a meghajtóhoz.

   A hálózati meghajtókon végzendő önálló IOC vizsgálati feladatok esetében a feladat tulajdonságaiban manuálisan kell kiválasztania azt a felhasználói fiókot, amely hozzáféréssel rendelkezik a meghajtóhoz.

6. Lépjen ki a varázslóból.

   Egy új feladat jelenik meg a feladatok listájában.

7. Kattintson az új feladatra.

   Megnyílik a feladatok tulajdonságai ablak.

8. Válassza ki az Application settings lapot.
9. Nyissa meg az IOC vizsgálat beállításai részt.
10. Töltse fel az IOC-fájlokat fertőzöttségi mutatók kereséséhez.

    Az IOC-fájlok feltöltése után az alkalmazás összefoglaló információkat jelenít meg a fájlról, beleértve azon mutatók listáját, amelyek nem mentek át az ellenőrzésen. Az IOC-fájlok feltöltése után manuálisan szerkesztheti a fájlokat a beépített szerkesztőben közvetlenül a feladat tulajdonságaiban. A Kaspersky Endpoint Security az OpenIOC 1.1 szabványnak megfelelő IOC-fájlok szerkesztését támogatja. Az OpenIOC 1.0 típusú fájlok szerkesztése nem lehetséges.

    A Kaspersky Endpoint Security hozzáadja az IOC-fájlokat az IOC-gyűjteményhez. Ha szükséges, ideiglenesen kizárhatja az IOC-fájlokat a feladat hatóköréből.

    Az IOC-fájlok hozzáadása vagy eltávolítása a feladat futtatása után nem javasolt. Ez azt okozhatja, hogy az IOC vizsgálat eredményei helytelenül jelennek meg a feladat korábbi futtatásakor. Az új IOC-fájlok biztonsági sérülési indikátorainak kereséséhez ajánlott új feladatokat hozzáadni.

11. Az IOC-észlelésre vonatkozó műveletek konfigurálása:
    • Számítógép hálózatelkülönítése. Ha ezt az opciót választja, a Kaspersky Endpoint Security elkülöníti a számítógépet a hálózattól, hogy megakadályozza a fenyegetés terjedését. Beállíthatja az elkülönítés időtartamát az Endpoint Detection and Response összetevő beállításaiban.

      Ha a jelölőnégyzet nincs bejelölve, a feladat kézi futtatása után leválaszthatja a számítógépet a hálózatról. Ha a IOC vizsgálat feladat fertőzöttségi mutatót észlel, a számítógépet elkülönítheti a hálózattól közvetlenül az IOC használatával (IOC vizsgálat → Application settings → IOC vizsgálat eredményei feladat). A Kaspersky Endpoint Security lehetővé teszi további beállítások azonnali kezelését is: hálózatelkülönítés letiltásának időtartama és hálózatelkülönítési kivételek.

    • Másolat áthelyezése a karanténba, objektum törlése. Ha ezt az opciót választja, a Kaspersky Endpoint Security törli a számítógépen talált rosszindulatú objektumot. Az objektum törlése előtt a Kaspersky Endpoint Security biztonsági másolatot készít arra az esetre, ha az objektumot később vissza kell állítani. A Kaspersky Endpoint Security a biztonsági másolatot karanténba helyezi.

      Ha a jelölőnégyzet nincs bejelölve, a feladat kézi futtatása után manuálisan is karanténba helyezheti a fájlt. Ha az IOC vizsgálat feladat olyan fájlt észlel, amely veszélyeztetheti az adatokat, akkor ezt a fájlt közvetlenül az IOC vizsgálat eredményeiből teheti karanténba (Application settings → IOC vizsgálat eredményei). Ennek eredményeként a Kaspersky Endpoint Security elindítja a feladat létrehozásának varázslóját az észlelt fájl előre beállított adataival. Csak a további feladatbeállításokat kell kezelnie, például beállítani a feladat ütemezését.

    • Kritikus területek vizsgálatának futtatása. Ha ezt az opciót választja, a Kaspersky Endpoint Security futtatja a Kritikus területek vizsgálata feladatot. A Kaspersky Endpoint Security alapértelmezés szerint a rendszermag memóriáját, a futó folyamatokat és a lemez rendszerindító szektorait vizsgálja.
12. Nyissa meg a Speciális szakaszt.
13. Válassza ki az adattípusokat (IOC-dokumentumok), amelyeket a feladat részeként elemezni kell.

    A Kaspersky Endpoint Security automatikusan kiválasztja az adattípusokat (IOC-dokumentumokat) az IOC vizsgálat feladathoz a betöltött IOC-fájlok tartalmának megfelelően. Nem ajánlott megszüntetni az adattípusok kijelölését.

    Ezenkívül konfigurálhatja a vizsgálati hatóköröket a következő adattípusokhoz:

    • Files - FileItem. Beállítja az IOC vizsgálat hatókörét a számítógépen az előre beállított hatókörök használatával.

      Alapértelmezés szerint a Kaspersky Endpoint Security csak a számítógép fontos területein keresi a biztonsági sérülési indikátorokat, például a Letöltések mappában, az asztalon, az operációs rendszer ideiglenes fájljait tartalmazó mappában stb. Manuálisan is hozzáadhatja a vizsgálati hatóköröket.

    • Windows event logs - EventLogItem. Adja meg azt az időszakot, amikor az események naplózva lettek. Azt is kiválaszthatja, hogy mely Windows eseménynaplókat kell használni az IOC vizsgálathoz. Alapértelmezés szerint a következő eseménynaplók vannak kiválasztva: alkalmazási eseménynapló, rendszer-eseménynapló és biztonsági eseménynapló.
    • Windows beállításjegyzék – RegistryItem. Konfigurálja az IOC vizsgálat hatókörét a beállításjegyzékben.

      Alapértelmezés szerint a Kaspersky Endpoint Security átvizsgálja a beállításkulcsok készletét.

14. Válassza ki a számítógép tulajdonságainak ablakában az Schedule lapot.
15. Állítsa be a feladat ütemezését.

    A hálózati ébresztés nem érhető el ennél a feladatnál. Győződjön meg arról, hogy a számítógép be van kapcsolva a feladat futtatásához.

16. Mentse el a módosításokat.
17. Válassza ki a feladat melletti jelölőnégyzetet.
18. Kattintson az Start gombra.

Ennek eredményeként a Kaspersky Endpoint Security futtatja a biztonsági sérülési indikátorok keresését a számítógépen. A feladat eredményeit a feladat tulajdonságaiban tekintheti meg az Results szakaszban. Az észlelt biztonsági sérülési indikátorokra vonatkozó információkat a feladat tulajdonságaiban tekintheti meg: Application settings → IOC vizsgálat eredményei. Az IOC vizsgálat eredményeiben manuálisan is karanténba helyezheti az észlelt fájlt, vagy elszigetelheti a számítógépet a hálózattól.

Az IOC vizsgálat eredményeinek megőrzése 30 napig történik. Ezt követően a Kaspersky Endpoint Security automatikusan törli a legrégebbi bejegyzéseket.

Oldal tetejére