Scanare pentru descoperirea indicatorilor de compromitere (activitate standard)

Un Indicator de compromitere (IOC) este un set de date despre un obiect sau o activitate care indică accesul neautorizat la computer (compromiterea datelor). De exemplu, multe încercări nereușite de conectare la sistem pot constitui un Indicator de compromitere. Activitatea Scanare IOC permite găsirea Indicatorilor de compromitere pe computer și luarea măsurilor de răspuns la amenințări.

Kaspersky Endpoint Security caută indicatorii de compromitere folosind fișiere IOC. Fișierele IOC sunt fișiere care conțin seturile de indicatori pe care aplicația încearcă să le potrivească pentru a contoriza o detectare. Fișierele IOC trebuie să fie conforme cu standardul OpenIOC.

Modul de rulare al activității Scanare IOC

Kaspersky Endpoint Detection and Response vă permite să creați activități standard de Scanare IOC pentru a detecta datele compromise. Activitate de scanare IOC standard este un grup sau o activitate locală care este creată și configurată manual în Web Console. Activitățile sunt executate folosind fișiere IOC pregătite de utilizator. Dacă vreți să adăugați manual un indicator de compromitere, citiți cerințele pentru fișiere IOC.

Fișierul pe care îl puteți descărca făcând clic pe linkul de mai jos, conține un tabel cu lista completă a termenilor IOC din standardul OpenIOC.

DESCĂRCAȚI FIȘIERUL IOC_TERMS.XLSX

Kaspersky Endpoint Security acceptă, de asemenea activități de scanare IOC autonome atunci când aplicația este utilizată ca parte a soluției Kaspersky Sandbox.

Crearea fișierului IOC

Începând cu Kaspersky Endpoint Security 12.10 for Windows, poți crea fișiere IOC direct în setările activității. Pentru a crea un fișier IOC, trebuie să pregătești un fișier TXT cu o listă de indicatori de compromitere. Poți adăuga liste cu următoarele obiecte ca indicatori de compromitere:

• Hash-uri de fișiere (MD5/SHA256).

  Aplicația pregătește un fișier IOC cu un domeniu de scanare FileItem/Md5sum sau FileItem/Sha256sum.

• Adrese IP (IPv4, IPv6).

  Aplicația pregătește un fișier IOC cu un domeniu de scanare PortItem/RemoteIP.

• Nume DNS.

  Aplicația pregătește un fișier IOC cu un domeniu de scanare DnsEntryItem/RecordName.

Cum se creează un fișier IOC în Web Console

Crearea unei activități Scanare IOC

Puteți crea manual activități de Scanare IOC:

• În detaliile alertei (numai pentru EDR Optimum).

  Detalii detecție este un instrument pentru vizualizarea tuturor informațiilor colectate despre o amenințare detectată. Detaliile detecției includ, de exemplu, istoricul fișierelor care apar pe computer. Pentru detalii despre gestionarea detectării, consultați Ajutor Kaspersky Endpoint Detection and Response Optimum și Ajutor Kaspersky Endpoint Detection and Response Expert.

• Folosind Expertul de activitate.

Puteți configura activitatea pentru EDR Optimum în Web Console și Cloud Console. Setările activității pentru EDR Expert sunt disponibile numai în Cloud Console.

Pentru a crea o activitate Scanare IOC:

1. În fereastra principală a Web Console, selectați Assets (Devices) → Tasks.

   Lista activităților se deschide.

2. Fă clic pe Add.

   Expertul de activitate pornește.

3. Configurați setările pentru activitate:
   1. În lista verticală Application, selectează Kaspersky Endpoint Security for Windows 12.11.0.
   2. În lista verticală Task type, selectează IOC Scan.
   3. În câmpul Task name, introduceți o descriere succintă.
   4. În blocul Devices to which the task will be assigned, selectați domeniul activității.
4. Selectați dispozitive în funcție de opțiunea selectată pentru domeniul activității. Mergeți la pasul următor.
5. Introduceți acreditările contului utilizatorului ale cărui drepturi doriți să le utilizați pentru a executa activitatea. Mergeți la pasul următor.

   În mod implicit, Kaspersky Endpoint Security pornește activitatea drept cont de utilizator de sistem (SYSTEM).

   Contul de sistem (SYSTEM) nu are permisiunea să execute activitatea Scanare IOC pe unitățile de rețea. Dacă doriți să executați activitatea pentru o unitate de rețea, selectați contul unui utilizator care are acces la acea unitate.

   Pentru activitățile de Scanare IOC autonome pe unitățile de rețea, trebuie să selectați manual contul de utilizator care are acces la acea unitate în proprietățile activității.

6. Ieșiți din Expert.

   Se va afișa o activitate nouă în lista de activități.

7. Faceți clic pe activitatea nouă.

   Se va deschide fereastra de proprietăți a activității.

8. Selectați fila Application settings.
9. Accesează secțiunea IOC Scan settings.
10. Încarcă fișierele IOC pentru a căuta indicatorii de compromitere.

    După ce încarci fișierele IOC, aplicația afișează informații rezumative despre fișier, inclusiv lista indicatorilor care nu au trecut verificarea. După încărcarea fișierelor IOC, poți edita manual fișierele în editorul încorporat, direct în proprietățile activității. Kaspersky Endpoint Security acceptă editarea fișierelor IOC care sunt conforme cu standardul OpenIOC 1.1. Editarea fișierelor OpenIOC 1.0 nu este posibilă.

    Kaspersky Endpoint Security adaugă fișierele IOC la colecția IOC. Dacă este necesar, poți exclude temporar fișierele IOC din domeniul de aplicare al activității.

    Adăugarea sau eliminarea fișierelor IOC după executarea activității nu este recomandată. Acest lucru poate face ca rezultatele scanării IOC să fie afișate incorect pentru executările anterioare ale activității. Pentru a căuta indicatorii de compromitere după noile fișiere IOC, se recomandă adăugarea de noi activități.

11. Configurați acțiunile la detectarea IOC:
    • Isolate computer from the network. Dacă această opțiune este selectată, Kaspersky Endpoint Security izolează computerul de rețea pentru a preveni răspândirea amenințării. Puteți configura durata izolării în Endpoint Detection and Response component settings.

      Dacă această casetă de selectare este debifată, poți izola computerul de rețea după executarea manuală a activității. Dacă activitatea Scanare IOC detectează un IOC, poți izola computerul de rețea direct din IOC (proprietățile activității Scanare IOC → Application settings → IOC Scan results). Kaspersky Endpoint Security permite, de asemenea, gestionarea imediată a setărilor suplimentare: Perioada de dezactivare a izolării rețelei și Excluderi izolare rețea.

    • Move copy to Quarantine, delete object. Dacă această opțiune este selectată, Kaspersky Endpoint Security șterge obiectul rău intenționat găsit pe computer. Înainte de a șterge obiectul, Kaspersky Endpoint Security creează o copie de rezervă în caz că obiectul trebuie restaurat ulterior. Kaspersky Endpoint Security mută copia de rezervă în Carantină.

      Dacă această casetă de selectare este debifată, poți caractina fișierul manual după executarea manuală a activității. Dacă activitatea Scanare IOC detectează un fișier care poate compromite datele, poți carantina acest fișier direct din rezultatele componentei Scanare IOC (Application settings → IOC Scan results). Prin urmare, Kaspersky Endpoint Security pornește expertul de creare a activităților cu datele presetate ale fișierului detectat. Trebuie doar să gestionezi setările suplimentare ale activităților, de exemplu, să configurezi programul activităților.

    • Run Critical Areas Scan. On threat detection. Dacă această opțiune este selectată, Kaspersky Endpoint Security execută activitatea Scanare zone critice. În mod implicit, Kaspersky Endpoint Security scanează memoria kernel, procesele care se execută și sectoarele de boot ale discurilor.
12. Accesează secțiunea Advanced.
13. Selectați tipurile de date (documente IOC) care trebuie analizate ca parte a activității.

    Kaspersky Endpoint Security selectează automat tipurile de date (documente IOC) pentru activitatea Scanare IOC în conformitate cu conținutul fișierelor IOC încărcate. Nu este recomandat să deselectați tipurile de date.

    În plus, puteți configura domeniile de scanare pentru următoarele tipuri de date:

    • Files - FileItem. Setați un Domeniu de scanare IOC pe computer utilizând domenii prestabilite.

      În mod implicit, Kaspersky Endpoint Security scanează pentru depistarea IOC numai zonele importante ale computerului, cum ar fi directorul Descărcări, desktop-ul, directorul cu fișierele temporare ale sistemului de operare etc. De asemenea, puteți adăuga manual și domeniul de scanare.

    • Windows event logs - EventLogItem. Introduceți perioada de timp în care au fost înregistrate evenimentele. De asemenea, puteți selecta care jurnal de evenimente Windows trebuie utilizat pentru scanarea IOC. În mod implicit, sunt selectate următoarele jurnale de evenimente: jurnal evenimente aplicație, jurnal evenimente de sistem și jurnal evenimente de securitate.
    • Windows registry - RegistryItem. Configurează domeniul de aplicare pentru Scanare IOC în registry.

      În mod implicit, Kaspersky Endpoint Security scanează un set de chei de registry.

14. În fereastra cu proprietățile activității, selectați fila Schedule.
15. Configurați planificarea activității.

    Opțiunea Wake-on-LAN nu este disponibilă pentru această activitate. Asigurați-vă că este pornit computerul pentru a executa această activitate.

16. Salvați-vă modificările.
17. Bifați caseta de selectare de lângă activitate.
18. Fă clic pe Start.

Ca urmare, Kaspersky Endpoint Security execută căutarea indicatorilor de compromitere pe computer. Puteți vizualiza rezultatele căutării în proprietățile activităților din secțiunea Results. Puteți vizualiza informațiile despre indicatorii de compromitere detectați în proprietățile activității: Application settings → IOC Scan results. În rezultatele Scanării IOC, poți, de asemenea, să carantinezi fișierul detectat manual sau să izolezi computerul de rețea.

Rezultatele scanării IOC sunt păstrate timp de 30 de zile. După această perioadă, Kaspersky Endpoint Security șterge automat intrările cele mai vechi.

Începutul paginii