Skanowanie pod kątem wskaźników naruszeń bezpieczeństwa (zadanie standardowe)

Wskaźnik naruszeń bezpieczeństwa (IOC) to zestaw danych dotyczących obiektu lub aktywności, która wskazuje nieautoryzowany dostęp do komputera (naruszenie bezpieczeństwa danych). Na przykład, wiele niepomyślnych prób zalogowania do systemu może stanowić wskaźnik naruszeń bezpieczeństwa. Zadanie Skanowanie IOC umożliwia odszukanie wskaźników naruszeń bezpieczeństwa na komputerze i podejmują środki reakcji na zagrożenia.

Kaspersky Endpoint Security wyszukuje wskaźniki zagrożenia za pomocą plików IOC. Pliki IOC to pliki zawierające zestawy wskaźników, które aplikacja próbuje dopasować do licznika wykrywania. Pliki IOC muszą pasować do standardu OpenIOC.

Tryb uruchamiania zadania Skanowanie IOC

Kaspersky Endpoint Detection and Response umożliwia utworzenie standardowych zadań Skanowanie IOC do wykrywania danych, których bezpieczeństwo zostało naruszone. Standardowe zadanie skanowania IOC to zadanie grupowe lub lokalne, które jest tworzone i skonfigurowane ręcznie w konsoli Web Console. Zadania są uruchamiane przy użyciu plików IOC przygotowanych przez użytkownika. Jeśli chcesz ręcznie dodać wskaźnik naruszenia bezpieczeństwa, zapoznaj się z wymaganiami plików IOC.

Plik, który możesz pobrać, klikając poniższy odnośnik, zawiera tabelę z pełną listą warunków IOC standardu OpenIOC.

POBIERZ PLIK IOC_TERMS.XLSX

Kaspersky Endpoint Security także obsługuje autonomiczne zadania skanowania IOC, gdy aplikacja jest używana jako część rozwiązania Kaspersky Sandbox.

Tworzenie pliku IOC

Począwszy od wersji Kaspersky Endpoint Security 12.10 for Windows pliki IOC można tworzyć bezpośrednio w ustawieniach zadania. Aby utworzyć plik IOC, należy przygotować plik TXT zawierający listę wskaźników naruszeń bezpieczeństwa. Można dodać listy następujących obiektów jako wskaźniki naruszeń bezpieczeństwa:

• Skróty plików (MD5 / SHA256).

  Aplikacja przygotowuje plik IOC z zakresem skanowania FileItem/Md5sum lub FileItem/Sha256sum.

• Adresy IP (IPv4, IPv6).

  Aplikacja przygotowuje plik IOC z zakresem skanowania PortItem/RemoteIP.

• Nazwy DNS.

  Aplikacja przygotowuje plik IOC z zakresem skanowania DnsEntryItem/RecordName.

Jak utworzyć plik IOC w konsoli Web Console?

Tworzenie zadania Skanowanie IOC

Możesz ręcznie utworzyć zadania Skanowanie IOC:

• W szczegółach alertów (tylko dla EDR Optimum).

  Szczegóły wykrycia to narzędzie do przeglądania całości zebranych informacji o wykrytym zagrożeniu. Szczegóły wykrycia obejmują, na przykład, historię plików pojawiających się na komputerze. Więcej informacji o zarządzaniu szczegółami wykrycia można znaleźć w pomocy do Kaspersky Endpoint Detection and Response Optimum oraz w pomocy do Kaspersky Endpoint Detection and Response Expert.

• Korzystanie z Kreatora tworzenia zadania.

Możesz skonfigurować zadanie dla EDR Optimum w Web Console i Cloud Console. Ustawienia zadania dla EDR Expert są dostępne tylko w Cloud Console.

Aby utworzyć zadanie Skanowanie IOC:

1. W oknie głównym Web Console wybierz Zasoby (urządzenia) → Zadania.

   Zostanie otwarta lista zadań.

2. Kliknij Dodaj.

   Zostanie uruchomiony Kreator tworzenia zadania.

3. Skonfiguruj ustawienia zadania:
   1. Z listy rozwijalnej Aplikacja wybierz Kaspersky Endpoint Security for Windows (12.10.0).
   2. Z listy rozwijalnej Typ zadania wybierz Skanowanie IOC.
   3. W polu Nazwa zadania wpisz krótki opis.
   4. W sekcji Urządzenia, do których zostanie przypisane zadanie wybierz żądany zakres zadania.
4. Wybierz urządzenia zgodnie z opcją wybranego obszaru zadania. Przejdź do następnego kroku.
5. Wprowadź poświadczenia konta użytkownika, którego uprawnień chcesz użyć do uruchomienia zadania. Przejdź do następnego kroku.

   Domyślnie, Kaspersky Endpoint Security uruchamia zadanie jako konto użytkownika systemu (SYSTEM).

   Konto systemowe (SYSTEM) nie posiada uprawnienia do wykonywania zadania Skanowanie IOC na dyskach sieciowych. Jeśli chcesz uruchomić zadanie dla dysku sieciowego, wybierz konto użytkownika, który posiada dostęp do tego dysku.

   W przypadku autonomicznych zadań Skanowanie IOC na dyskach sieciowych, we właściwościach zadania należy ręcznie wybrać konto użytkownika, które ma dostęp do tego dysku.

6. Zakończ działanie Kreatora.

   Nowe zadanie zostanie wyświetlone na liście zadań.

7. Kliknij nowe zadanie.

   Zostanie otwarte okno właściwości zadania.

8. Wybierz zakładkę Ustawienia aplikacji.
9. Przejdź do sekcji Ustawienia skanowania IOC.
10. Prześlij pliki IOC, aby wyszukać wskaźniki naruszeń bezpieczeństwa.

    Po przesłaniu plików IOC aplikacja wyświetla podsumowanie informacji o pliku, włącznie z listą wskaźników, które nie przeszły kontroli. Po przesłaniu plików IOC możesz ręcznie edytować pliki we wbudowanym edytorze bezpośrednio we właściwościach zadania. Kaspersky Endpoint Security obsługuje edycję plików IOC zgodnych ze standardem OpenIOC 1.1. Edycja plików OpenIOC 1.0 nie jest możliwa.

    Kaspersky Endpoint Security dodaje pliki IOC do kolekcji IOC. W razie potrzeby można tymczasowo wykluczyć pliki IOC z zakresu zadania.

    Dodanie lub usunięcie plików IOC po uruchomieniu zadania nie jest zalecane. To może spowodować niepoprawne wyświetlenie wyników skanowania IOC przed wcześniejszymi uruchomieniami zadania. Aby wyszukać wskaźniki naruszeń bezpieczeństwa przez nowe pliki IOC, zalecane jest dodanie nowych zadań.

11. Skonfiguruj akcje po wykryciu IOC:
    • Odizoluj komputer od sieci. Jeśli ta opcja jest zaznaczona, Kaspersky Endpoint Security odizoluje komputer od sieci, aby zapobiec rozprzestrzenianiu się zagrożenia. Możesz skonfigurować czas trwania izolacji w ustawieniach komponentu Endpoint Detection and Response.

      Jeśli to pole wyboru jest odznaczone, możesz odizolować komputer od sieci po ręcznym uruchomieniu zadania. Jeśli zadanie Skanowanie IOC wykryje wskaźnik naruszeń bezpieczeństwa, możesz odizolować komputer od sieci bezpośrednio z poziomu wskaźnika naruszeń bezpieczeństwa (właściwości Skanowanie IOC → Ustawienia aplikacji → zadanie Wyniki skanowania IOC). Kaspersky Endpoint Security umożliwia również natychmiastowe zarządzanie dodatkowymi ustawieniami: Okresem wyłączenia izolacji sieciowej oraz Wykluczeniami izolacji sieciowej.

    • Przenieś kopię do Kwarantanny, usuń obiekt. Jeśli ta opcja została zaznaczona, Kaspersky Endpoint Security usunie szkodliwy obiekt wykryty na komputerze. Przed usunięciem obiektu Kaspersky Endpoint Security utworzy kopię zapasową w przypadku, gdy obiekt musi zostać przywrócony w późniejszym czasie. Kaspersky Endpoint Security przeniesie kopię zapasową do Kwarantanny.

      Jeśli to pole wyboru jest odznaczone, możesz poddać plik kwarantannie ręcznie po ręcznym uruchomieniu zadania. Jeśli zadanie Skanowanie IOC wykryje plik, który może naruszyć dane, możesz poddać ten plik kwarantannie bezpośrednio z wyników skanowania IOC (Ustawienia aplikacji → Wyniki skanowania IOC). W wyniku tego działania Kaspersky Endpoint Security uruchamia kreator tworzenia zadania z predefiniowanymi danymi wykrytego pliku. Musisz jedynie zarządzać dodatkowymi ustawieniami zadań, na przykład skonfigurować harmonogram zadań.

    • Uruchom skanowanie obszarów krytycznych. Jeśli ta opcja jest zaznaczona, Kaspersky Endpoint Security uruchamia zadanie Skanowanie obszarów krytycznych. Domyślnie, Kaspersky Endpoint Security skanuje pamięć jądra, uruchomione procesy i sektory startowe dysku.
12. Przejdź do sekcji Zaawansowane.
13. Wybierz typy danych (dokumenty IOC), które muszą zostać przeanalizowane jako część zadania.

    Kaspersky Endpoint Security automatycznie wybiera typy danych (dokumenty IOC) dla zadania Skanowanie IOC zgodnie z zawartością załadowanych plików IOC. Nie jest zalecane odznaczenie typów danych.

    Dodatkowo możesz skonfigurować obszary skanowania dla następujących typów danych:

    • Pliki - FileItem. Ustaw obszar skanowania IOC na komputerze przy użyciu predefiniowanych obszarów.

      Domyślnie, Kaspersky Endpoint Security skanuje pod kątem wskaźników naruszeń bezpieczeństwa tylko ważne obszary komputera, takie jak folder Pobrane, pulpit, folder z tymczasowymi plikami systemu operacyjnego itd. Możesz także ręcznie dodać obszar skanowania.

    • Dzienniki zdarzeń Windows - EventLogItem. Wprowadź czas zarejestrowania zdarzeń. Możesz także wybrać, które dzienniki zdarzeń systemu Windows muszą być użyte dla skanowania IOC. Domyślnie, wybrane są następujące dzienniki zdarzeń: dziennik zdarzeń aplikacji, dziennik zdarzeń systemu oraz dziennik zdarzeń ochrony.
    • Rejestr Windowsa - RegistryItem. Skonfiguruj zakres skanowania IOC w rejestrze.

      Domyślnie Kaspersky Endpoint Security skanuje zestaw kluczy rejestru.

14. W oknie właściwości zadania wybierz zakładkę Terminarz.
15. Skonfiguruj terminarz zadania.

    Wake-on-LAN nie jest dostępne dla tego zadania. Upewnij się, że komputer jest włączony do uruchomienia zadania.

16. Zapisz swoje zmiany.
17. Zaznacz pole obok zadania.
18. Kliknij Uruchom.

W rezultacie Kaspersky Endpoint Security uruchamia wyszukiwanie wskaźników naruszeń bezpieczeństwa na komputerze. Możesz przejrzeć wyniki zadania we właściwościach zadania, w sekcji Wyniki. Informacje o wykrytych wskaźnikach naruszeń bezpieczeństwa możesz przejrzeć we właściwościach zadania: Ustawienia aplikacji → Wyniki skanowania IOC. W wynikach skanowania IOC można również ręcznie poddać wykryty plik kwarantannie lub odizolować komputer od sieci.

Wyniki skanowania IOC są przechowywane 30 dni. Po tym czasie Kaspersky Endpoint Security automatycznie usuwa najstarsze wpisy.

Przejdź do góry