Verificar os indicadores de compromisso (tarefa padrão)

Um Indicador de comprometimento (IOC) é um conjunto de dados relativos a um objeto ou atividade que indica acesso não autorizado ao computador (comprometimento de dados). Por exemplo, muitas tentativas falhadas de iniciar sessão no sistema podem constituir um Indicador de Comprometimento. A tarefa Verificação IOC permite localizar indicadores de comprometimento no computador e adotar medidas de resposta a ameaças.

O Kaspersky Endpoint Security procura indicadores de comprometimento utilizando IOC files. Os IOC files são ficheiros que contêm os conjuntos de indicadores que a aplicação tenta corresponder para contar uma deteção. Os IOC files devem estar em conformidade com o padrão OpenIOC.

Modo de execução da tarefa Verificação IOC

O Kaspersky Endpoint Detection and Response permite-lhe criar tarefas de Verificação IOC padrão para detetar dados comprometidos. A tarefa verificação IOC padrão é uma tarefa local ou de grupo que é criada e configurada manualmente na Consola Web. As tarefas são executadas utilizando IOC files preparados pelo utilizador. Se quiser adicionar manualmente um indicador de compromisso, leia os requisitos para os ficheiros do IOC.

O ficheiro que transfere através da ligação abaixo contém uma tabela com a lista completa dos termos IOC do padrão OpenIOC.

TRANSFERIR O FICHEIRO IOC_TERMS.XLSX

O Kaspersky Endpoint Security também suporta tarefas de verificação IOC independentes quando a aplicação é utilizada como parte da solução do Kaspersky Sandbox.

Criar ficheiro IOC

A partir do Kaspersky Endpoint Security 12.10 for Windows, pode criar ficheiros IOC diretamente nas definições da tarefa. Para criar um ficheiro IOC, deve preparar um ficheiro TXT com uma lista de indicadores de comprometimento. Pode adicionar listas dos seguintes objetos como indicadores de comprometimento:

• Hashes do ficheiro (MD5 / SHA256).

  A aplicação prepara um ficheiro IOC com um âmbito de verificação FileItem/Md5sum ou FileItem/Sha256sum.

• Endereços IP (IPv4, IPv6).

  A aplicação prepara um ficheiro IOC com um âmbito de verificação PortItem/RemoteIP.

• Nomes DNS.

  A aplicação prepara um ficheiro IOC com um âmbito de verificação DnsEntryItem/RecordName.

Como criar um ficheiro IOC na Consola Web

Criar uma tarefa Verificação IOC

Pode criar tarefas Verificação IOC manualmente:

• Nos detalhes do alerta (apenas para EDR Optimum).

  As informações da deteção é uma ferramenta para visualizar todas as informações recolhidas sobre uma ameaça detetada. As informações da deteção incluem, por exemplo, o histórico dos ficheiros que aparecem no computador. Para conhecer os detalhes sobre a gestão de deteção, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum e a Ajuda do Kaspersky Endpoint Detection and Response Expert.

• Utilizando o Assistente de Tarefas.

Pode configurar a tarefa para o EDR Optimum na Consola Web e na Cloud Console. As definições da tarefa para o EDR Expert estão disponíveis apenas na Cloud Console.

Para criar uma tarefa Verificação IOC:

1. Na janela principal da Consola Web, selecione Assets (Devices) → Tasks.

   A lista de tarefas é aberta.

2. Clique em Add.

   O Assistente de Tarefas é iniciado.

3. Configurar as definições de tarefa:
   1. Na lista pendente Application, selecione Kaspersky Endpoint Security for Windows (12.10.0).
   2. Na lista pendente Task type, selecione IOC Scan.
   3. No campo Task name, introduza uma breve descrição.
   4. No bloco Devices to which the task will be assigned, selecione o âmbito de tarefa.
4. Selecione os dispositivos de acordo com a opção do âmbito da tarefa selecionada. Avance para o passo seguinte.
5. Introduza as credenciais da conta do utilizador cujos direitos deseja usar para executar a tarefa. Avance para o passo seguinte.

   Por predefinição, o Kaspersky Endpoint Security inicia a tarefa com a conta de utilizador do sistema (SYSTEM).

   A conta de sistema (SYSTEM) não tem a permissão para executar uma tarefa Verificação IOC em unidades de rede. Se deseja executar a tarefa para uma unidade de rede, selecione a conta de utilizador que tem acesso a tal unidade.

   Para tarefas de verificação IOC autónomas em unidades de rede, tem de selecionar manualmente a conta de utilizador que tem acesso a esta unidade nas propriedades da tarefa.

6. Sair do Assistente.

   Será apresentada uma nova tarefa na lista de tarefas.

7. Clique em nova tarefa.

   É apresentada a janela de propriedades da tarefa.

8. Selecione o separador Application settings.
9. Aceda à secção IOC Scan settings.
10. Carregue os ficheiros IOC para procurar indicadores de comprometimento.

    Após o carregamento dos ficheiros IOC, a aplicação apresenta informações resumidas sobre o ficheiro, incluindo a lista de indicadores que não passaram na verificação. Após carregar os ficheiros IOC, pode editá-los manualmente no editor integrado diretamente nas propriedades da tarefa. O Kaspersky Endpoint Security suporta a edição de ficheiros IOC compatíveis com o padrão OpenIOC 1.1. Não é possível editar ficheiros OpenIOC 1.0.

    O Kaspersky Endpoint Security adiciona ficheiros IOC à coleção IOC. Se necessário, pode excluir temporariamente os ficheiros IOC do âmbito da tarefa.

    Adicionar ou remover ficheiros IOC após a execução da tarefa não é recomendado. Isto pode originar uma apresentação incorreta dos resultados da verificação IOC relativos a execuções anteriores da tarefa. Para pesquisar indicadores de compromisso por novos ficheiros IOC, recomenda-se a adição de novas tarefas.

11. Configure ações na deteção de IOC:
    • Isolate computer from the network. Se esta opção for selecionada, o Kaspersky Endpoint Security isola o computador da rede para evitar que a ameaça se espalhe. Pode configurar a duração do isolamento em Definições do componente Endpoint Detection and Response.

      Se esta caixa de seleção estiver desmarcada, poderá isolar o computador da rede depois de executar a tarefa manualmente. Se a tarefa Verificação IOC deteta um IOC, pode isolar o computador da rede diretamente do IOC (propriedades da tarefa Verificação IOC → Application settings → IOC Scan results). O Kaspersky Endpoint Security também permite gerir imediatamente configurações adicionais: Período de desativação do isolamento da rede e Exclusões de isolamento da rede.

    • Move copy to Quarantine, delete object. Se esta opção for selecionada, o Kaspersky Endpoint Security elimina o objeto malicioso encontrado no computador. Antes de eliminar o objeto, o Kaspersky Endpoint Security cria uma cópia de segurança, caso o objeto precise de ser posteriormente restaurado. O Kaspersky Endpoint Security move a cópia de segurança para a Quarentena.

      Se esta caixa de seleção estiver desmarcada, poderá colocar o ficheiro em quarentena manualmente após executar a tarefa manualmente. Se a tarefa Verificação IOC deteta um ficheiro que pode comprometer os dados, pode colocar este ficheiro em quarentena diretamente dos resultados da verificação IOC (Application settings → IOC Scan results). Como resultado, o Kaspersky Endpoint Security inicia o assistente de criação de tarefas com dados predefinidos do ficheiro detetado. Só precisa gerir as configurações de tarefas adicionais, por exemplo, configurar o agendamento de tarefas.

    • Run Critical Areas Scan. Se esta opção for selecionada, o Kaspersky Endpoint Security executa a tarefa Verificação de Áreas Críticas. Por predefinição, o Kaspersky Endpoint Security verifica a memória Kernel, os processos em execução e os setores de inicialização do disco.
12. Aceda à secção Advanced.
13. Selecione os tipos de dados (documentos IOC) que devem ser analisados como parte da tarefa.

    O Kaspersky Endpoint Security seleciona automaticamente os tipos de dados (documentos IOC) para a tarefa Verificação IOC em conformidade com o conteúdo dos IOC files carregados. Não é recomendado remover a seleção de tipos de dados.

    Adicionalmente, pode configurar âmbitos de verificação para os seguintes tipos de dados:

    • Files - FileItem. Defina o âmbito de verificação IOC no computador utilizando âmbitos predefinidos.

      Por predefinição, o Kaspersky Endpoint Security verifica IOC apenas em áreas importantes do computador, tais como a pasta de transferências, o ambiente de trabalho, a pasta com ficheiros temporários do sistema operativo, etc. Pode também adicionar manualmente o âmbito de verificação.

    • Windows event logs - EventLogItem. Introduza o período de tempo no qual os eventos foram registados. Também pode selecionar os registos de eventos do Windows que devem ser utilizados para a verificação IOC. Por defeito, são selecionados os seguintes registos de eventos: registo de eventos da aplicação, registo de eventos do sistema e registo de eventos de segurança.
    • Windows registry - RegistryItem. Configure o âmbito de verificação IOC no registo.

      Por defeito, o Kaspersky Endpoint Security verifica um conjunto de chaves de registo.

14. Na janela de propriedades da tarefa, selecione o separador Schedule.
15. Configure o agendamento da tarefa.

    Wake-on-LAN não está disponível para esta tarefa. Certifique-se de que o computador está ligado para executar a tarefa.

16. Guarde as suas alterações.
17. Selecione a caixa de verificação junto à tarefa.
18. Clique em Start.

Deste modo, o Kaspersky Endpoint Security procura indicadores de comprometimento do computador. Pode visualizar os resultados da tarefa nas propriedades da tarefa na secção Results. Pode consultar a informação sobre os indicadores de comprometimento detetados nas propriedades da tarefa: Application settings → IOC Scan results. Nos resultados da verificação IOC, também pode colocar manualmente o ficheiro detetado em quarentena ou isolar o computador da rede.

Os resultados da verificação IOC são mantidos durante 30 dias. Após este período, o Kaspersky Endpoint Security elimina automaticamente as entradas mais antigas.

Topo da página