Scansione degli indicatori di compromissione (attività standard)

Un indicatore di compromissione (IOC) è una serie di dati su un oggetto o un'attività che indica un accesso non autorizzato al computer (compromissione dei dati). Ad esempio, molti tentativi non riusciti di accesso al sistema possono costituire un indicatore di compromissione. L'attività Scansione IOC consente di trovare indicatori di compromissione sul computer e di adottare misure di risposta alle minacce.

Kaspersky Endpoint Security ricerca gli indicatori di compromissione utilizzando i file IOC. I file IOC sono file che contengono le serie di indicatori che l'applicazione tenta di abbinare per eseguire un rilevamento. I file IOC devono essere conformi allo standard OpenIOC.

Modalità di esecuzione dell'attività Scansione IOC

Kaspersky Endpoint Detection and Response consente di creare attività di scansione IOC standard per rilevare dati compromessi. Attività di scansione IOC standard è un'attività locale o di gruppo creata e configurata manualmente in Web Console. Le attività vengono eseguite utilizzando i file IOC preparati dall'utente. Se si desidera aggiungere un indicatore di compromissione manualmente, leggere i requisiti dei file IOC.

Il file che è possibile scaricare facendo clic sul collegamento sottostante contiene una tabella con l'elenco completo dei termini IOC dello standard OpenIOC.

DOWNLOAD DEL FILE IOC_TERMS.XLSX

Kaspersky Endpoint Security supporta anche le attività di scansione IOC standalone quando l'applicazione viene utilizzata come parte della soluzione Kaspersky Sandbox.

Creazione del file IOC

A partire da Kaspersky Endpoint Security 12.10 for Windows, è possibile creare i file IOC direttamente nelle impostazioni dell'attività. Per creare un file IOC, è necessario preparare un file TXT con un elenco di indicatori di compromissione. È possibile aggiungere elenchi dei seguenti oggetti come indicatori di compromissione:

Come creare un file IOC in Web Console

Creazione di un'attività Scansione IOC

È possibile creare attività Scansione IOC manualmente:

È possibile configurare l'attività per EDR Optimum in Web Console e Cloud Console. Le impostazioni dell'attività per EDR Expert sono disponibili solo in Cloud Console.

Per creare un'attività Scansione IOC:

  1. Nella finestra principale di Web Console, fare clic su Risorse (dispositivi)Attività.

    Viene aperto l'elenco delle attività.

  2. Fare clic su Aggiungi.

    Verrà avviata la Creazione guidata attività.

  3. Configurare le impostazioni dell'attività:
    1. Nell'elenco a discesa Applicazione, selezionare Kaspersky Endpoint Security for Windows (12.10.0).
    2. Nell'elenco a discesa Tipo di attività, selezionare Scansione IOC.
    3. Nel campo Nome attività, immettere una breve descrizione.
    4. Nel blocco Dispositivi a cui assegnare l'attività, selezionare l'ambito dell'attività.
  4. Selezionare i dispositivi in base all'opzione dell'ambito dell'attività selezionata. Procedere con il passaggio successivo.
  5. Immettere le credenziali dell'account dell'utente di cui si desidera utilizzare i diritti per eseguire l'attività. Procedere con il passaggio successivo.

    Per impostazione predefinita, Kaspersky Endpoint Security avvia l'attività come account utente di sistema (SYSTEM).

    L'account di sistema (SYSTEM) non dispone dell'autorizzazione necessaria per eseguire l'attività Scansione IOC nelle unità di rete. Se si desidera eseguire l'attività per un'unità di rete, selezionare l'account di un utente che ha accesso a tale unità.

    Per le attività Scansione IOC standalone nelle unità di rete, nelle proprietà dell'attività è necessario selezionare manualmente l'accesso utente che ha accesso a tale unità.

  6. Chiusura della procedura guidata.

    Verrà visualizzata una nuova attività nell'elenco delle attività.

  7. Fare clic sulla nuova attività.

    Verrà visualizzata la finestra delle proprietà dell'attività.

  8. Selezionare la scheda Impostazioni applicazione.
  9. Passare alla sezione Impostazioni di scansione IOC.
  10. Caricare i file IOC per cercare gli indicatori di compromissione.

    Dopo aver caricato i file IOC, l'applicazione mostra informazioni di riepilogo sul file, incluso l'elenco degli indicatori che non hanno superato il controllo. Dopo il caricamento dei file IOC, è possibile modificare manualmente i file nell'editor integrato direttamente nelle proprietà dell'attività. Kaspersky Endpoint Security supporta la modifica di file IOC conformi allo standard OpenIOC 1.1. Non è possibile modificare i file OpenIOC 1.0.

    Kaspersky Endpoint Security aggiunge i file IOC alla raccolta di IOC. Se necessario, è possibile escludere temporaneamente i file IOC dall'ambito dell'attività.

    Si sconsiglia di aggiungere o rimuovere file IOC dopo l'esecuzione dell'attività, poiché può causare la visualizzazione errata dei risultati della scansione IOC per le esecuzioni dell'attività precedenti. Per cercare indicatori di compromissione da parte di nuovi file IOC, si consiglia di aggiungere nuove attività.

  11. Configurare le azioni se viene rilevato un indicatore di compromissione:
    • Isola il computer dalla rete. Se questa opzione è selezionata, Kaspersky Endpoint Security isola il computer dalla rete per impedire la diffusione della minaccia. È possibile configurare la durata dell'isolamento nelle impostazioni del componente Endpoint Detection and Response.

      Se questa casella di controllo è deselezionata, è possibile isolare il computer dalla rete dopo aver eseguito manualmente l'attività. Se l'attività Scansione IOC rileva un file IOC, è possibile isolare il computer dalla rete direttamente dal file IOC (proprietà dell'attività Scansione IOC → Impostazioni applicazione → Risultati scansione IOC). Kaspersky Endpoint Security consente inoltre di gestire immediatamente impostazioni aggiuntive: periodo di disattivazione dell'isolamento della rete ed esclusioni dell'isolamento della rete.

    • Sposta la copia in Quarantena, elimina oggetto. Se questa opzione è selezionata, Kaspersky Endpoint Security elimina l'oggetto dannoso trovato nel computer. Prima di eliminare l'oggetto, Kaspersky Endpoint Security crea una copia di backup nel caso in cui sia necessario ripristinare l'oggetto in un secondo momento. Kaspersky Endpoint Security sposta la copia di backup in Quarantena.

      Se questa casella di controllo è deselezionata, è possibile mettere manualmente in quarantena il file dopo aver eseguito manualmente l'attività. Se l'attività Scansione IOC rileva un file che può compromettere i dati, è possibile mettere in quarantena questo file direttamente dai risultati della scansione IOC (Impostazioni applicazione → Risultati scansione IOC). In seguito a questa operazione, Kaspersky Endpoint Security avvia la creazione guidata dell'attività con i dati preimpostati del file rilevato. È solo necessario gestire le impostazioni aggiuntive dell'attività, ad esempio impostare la pianificazione dell'attività.

    • Esegui scansione delle aree critiche. Se questa opzione è selezionata, Kaspersky Endpoint Security esegue l'attività Scansione delle aree critiche. Per impostazione predefinita, Kaspersky Endpoint Security esamina la memoria del kernel, i processi in esecuzione e i settori di avvio del disco.
  12. Passare alla sezione Avanzato.
  13. Selezionare i tipi di dati (documenti IOC) che devono essere analizzati come parte dell'attività.

    Kaspersky Endpoint Security seleziona automaticamente i tipi di dati (documenti IOC) per l'attività Scansione IOC in conformità con i contenuti dei file IOC caricati. Si sconsiglia di deselezionare i tipo di dati.

    È inoltre possibile configurare gli ambiti della scansione per i seguenti tipi di dati:

    • File - FileItem. Consente di impostare un ambito della scansione IOC nel computer in cui vengono utilizzati gli ambiti preimpostati.

      Per impostazione predefinita, Kaspersky Endpoint Security esamina gli IOC solo nelle aree importanti del computer, ad esempio la cartella Download, il desktop, la cartella con i file temporanei del sistema operativo ecc. È inoltre possibile aggiungere manualmente l'ambito della scansione.

    • Registri eventi di Windows - EventLogItem. Immettere il periodo di tempo in cui gli eventi sono stati registrati. È inoltre possibile selezionare i registri eventi di Windows da utilizzare per la scansione IOC. Per impostazione predefinita, vengono selezionati i seguenti registri eventi: registro eventi delle applicazioni, registro eventi del sistema e registro eventi della sicurezza.
    • Registro di sistema di Windows - RegistryItem. Configurare l'ambito di scansione IOC nel Registro di sistema.

      Per impostazione predefinita, Kaspersky Endpoint Security esamina una serie di chiavi del Registro di sistema.

  14. Nella finestra delle proprietà dell'attività, selezionare la scheda Pianificazione.
  15. Configurare la pianificazione dell'attività.

    La funzionalità di riattivazione LAN non è disponibile per questa attività. Assicurarsi che il computer sia acceso per eseguire l'operazione.

  16. Salvare le modifiche.
  17. Selezionare la casella di controllo accanto all'attività.
  18. Fare clic su Avvia.

A questo punto, Kaspersky Endpoint Security esegue la ricerca degli indicatori di compromissione sul computer. È possibile visualizzare i risultati dell'attività nelle proprietà dell'attività nelle sezione Risultati. È possibile visualizzare le informazioni sugli indicatori di compromissione rilevati nelle proprietà dell'attività: Impostazioni applicazioneRisultati scansione IOC. Nei risultati di scansione IOC è possibile mettere in quarantena il file rilevato o isolare il computer dalla rete anche manualmente.

I risultati della scansione IOC vengono conservati per 30 giorni. Al termine di questo periodo, Kaspersky Endpoint Security elimina automaticamente le voci meno recenti.

Inizio pagina