Поиск индикаторов компрометации (стандартная задача)

Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.

Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.

Режим запуска задачи Поиск IOC

Kaspersky Endpoint Detection and Response позволяет создавать стандартные задачи поиска IOC для обнаружения компрометации данных. Стандартная задача поиска IOC – групповая или локальная задача, которые создаются и настраиваются вручную в Web Console. Для запуска задач используются IOC-файлы, подготовленные пользователем. Если вы хотите добавить индикатор компрометации вручную, ознакомьтесь с требованиями к IOC-файлам.

В файле, который можно загрузить по ссылке ниже, приведена таблица с полным списком IOC-терминов стандарта OpenIOC.

ЗАГРУЗИТЬ ФАЙЛ IOC_TERMS.XLSX

Kaspersky Endpoint Security также поддерживает автономные задачи поиска IOC при работе приложения в составе решения Kaspersky Sandbox.

Создание IOC-файла

Начиная с версии Kaspersky Endpoint Security для Windows 12.10 добавлена возможность создавать IOC-файлы прямо в свойствах задачи. Для создания IOC-файла вам нужно подготовить TXT-файл со списком индикаторов компрометации. В качестве индикаторов компрометации вы можете добавить списки следующих объектов:

• Хеши файлов (MD5 / SHA256).

  Приложение подготовит IOC-файл с областью поиска FileItem/Md5sum или FileItem/Sha256sum.

• IP-адреса (IPv4, IPv6).

  Приложение подготовит IOC-файл с областью поиска PortItem/RemoteIP.

• DNS-имена.

  Приложение подготовит IOC-файл с областью поиска DnsEntryItem/RecordName.

Как создать IOC-файл в Web Console

Создание задачи Поиск IOC

Вы можете создавать задачи Поиск IOC вручную следующими способами:

• В деталях алерта (только для EDR Optimum).

  Детали алерта – инструмент для просмотра всей собранной информации об обнаруженной угрозе. Детали алерта содержат, например, историю появления файлов на компьютере. Подробнее о работе с деталями алерта см. в справке Kaspersky Endpoint Detection and Response Optimum и в справке Kaspersky Endpoint Detection and Response Expert.

• С помощью мастера создания задач.

Вы можете настроить параметры задачи для EDR Optimum в Web Console и Cloud Console. Параметры задачи для EDR Expert доступны только в Cloud Console.

Чтобы создать задачу Поиск IOC, выполните следующие действия:

1. В главном окне Web Console выберите Активы (Устройства) → Задачи.

   Откроется список задач.

2. Нажмите на кнопку Добавить.

   Запустится мастер создания задачи.

3. Настройте параметры задачи:
   1. В раскрывающемся списке Приложение выберите Kaspersky Endpoint Security для Windows 12.12.0.
   2. В раскрывающемся списке Тип задачи выберите Поиск IOC.
   3. В поле Название задачи введите короткое описание задачи.
   4. В блоке Устройства, которым будет назначена задача выберите область действия задачи.
4. Выберите устройства в соответствии с выбранным вариантом области действия задачи. Перейдите к следующему шагу.
5. Выберите учетную запись пользователя, права которого требуется использовать для запуска задачи. Перейдите к следующему шагу.

   По умолчанию Kaspersky Endpoint Security запускает задачу под системной учетной записью (SYSTEM).

   У системной учетной записи (SYSTEM) отсутствуют права на выполнение задачи Поиск IOC на сетевых дисках. Если вы хотите выполнить задачу на сетевом диске, выберите учетную запись пользователя, у которого есть доступ к этому диску.

   Для работы автономных задач поиска IOC на сетевых дисках вам нужно вручную выбрать учетную запись пользователя, у которого есть доступ к этом диску, в свойствах задачи.

6. Завершите работу мастера.

   В списке задач отобразится новая задача.

7. Нажмите на новую задачу.

   Откроется окно свойств задачи.

8. Выберите закладку Параметры приложения.
9. Перейдите в раздел Настройки поиска IOC.
10. Загрузите IOC-файлы для поиска индикаторов компрометации.

    После загрузки IOC-файлов приложение покажет сводную информацию о файле, включая список индикаторов, которые не прошли проверку. После загрузки IOC-файлов вы можете вручную изменять содержание файлов во встроенном редакторе прямо в свойствах задачи. Kaspersky Endpoint Security поддерживает изменение содержания IOC-файлов, которые соответствуют стандарту OpenIOC версии 1.1. Изменить содержание IOC-файлов, соответствующие стандарту OpenIOC версии 1.0, невозможно.

    Kaspersky Endpoint Security добавит IOC-файлы в IOC-коллекцию. Если требуется, вы можете временно выключить IOC-файлы из области действия задачи.

    Не рекомендуется добавлять или удалять IOC-файлы после запуска задачи. Это может привести к некорректному отображению результатов поиска IOC для предыдущих запусков задачи. Для поиска индикаторов компрометации по новым IOC-файлам рекомендуется добавлять новые задачи.

11. Если требуется, установите флажок Ретроспективный поиск IOC. Ретроспективный поиск IOC – это режим работы задачи Поиск IOC, при котором Kaspersky Endpoint Security выполняет поиск индикаторов компрометации по данным, полученным за определенный интервал времени. Режим предназначен для поиска индикаторов компрометации по данным сетевой активности компьютера. Kaspersky Endpoint Security анализирует данные в журналах операционной системы и браузеров на компьютере.
12. Настройте действия при обнаружении индикатора компрометации:
    • Изолировать компьютер от сети. Если выбран этот вариант действия, то Kaspersky Endpoint Security изолирует компьютер от сети для предотвращения распространения угрозы. Вы можете настроить время изоляции в параметрах компонента Endpoint Detection and Response.

      Если флажок снят, вы можете изолировать компьютер от сети после выполнения задачи вручную. Если в результате выполнения задачи Поиск IOC обнаружен IOC, то вы можете изолировать компьютер от сети прямо из результатов поиска IOC (свойства задачи Поиск IOC → Параметры приложения → Результаты поиска IOC). Также Kaspersky Endpoint Security позволяет сразу настроить дополнительные параметры: период выключения Сетевой изоляции и исключения из Сетевой изоляции.

    • Копию поместить на карантин, объект удалить. Если выбран этот вариант действия, то Kaspersky Endpoint Security удаляет вредоносный объект, обнаруженный на компьютере. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.

      Если флажок снят, вы можете поместить файл на карантин после выполнения задачи вручную. Если в результате выполнения задачи Поиск IOC обнаружен файл, который может вызывать компрометацию данных, то вы можете поместить этот файл на карантин прямо из результатов поиска IOC (Параметры приложения → Результаты поиска IOC). В результате Kaspersky Endpoint Security запустит мастер создания задач с предустановленными данными об обнаруженном файле. Вам нужно только настроить дополнительные параметры задачи, например, задать расписание запуска задачи.

    • Запускать проверку важных областей. При обнаружении угрозы. Если выбран этот вариант действия, то Kaspersky Endpoint Security запускает задачу Проверка важных областей. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
13. Перейдите в раздел Дополнительно.
14. Выберите типы данных (IOC-документы), которые необходимо анализировать во время выполнения задачи.

    Kaspersky Endpoint Security автоматически выбирает типы данных (IOC-документы) для задачи Поиск IOC в соответствии с содержанием загруженных IOC-файлов. Не рекомендуется самостоятельно отменять выбор типов данных.

    Дополнительно вы можете настроить области поиска для следующих типов данных:

    • Файлы - FileItem. Задайте область поиска IOC на компьютере с помощью предустановленных областей.

      По умолчанию Kaspersky Endpoint Security выполняет поиск IOC только в важных областях компьютера, таких как папки Загрузки, Рабочий стол, папка с временными файлами операционной системы и другие. Также вы можете добавить области поиска вручную.

    • Журналы событий Windows - EventLogItem. Задайте период времени, в течение которого зафиксированы события. Также вы можете выбрать журналы событий Windows для поиска IOC. По умолчанию выбраны следующие журналы событий: журнал событий приложений, журнал системных событий и журнал событий безопасности.
    • Реестр Windows - RegistryItem. Задайте область поиска IOC в реестре.

      По умолчанию Kaspersky Endpoint Security анализирует определенный набор разделов реестра.

15. В окне свойств задачи выберите закладку Расписание.
16. Настройте расписание запуска задачи.

    Для этой задачи функция Wake-on-LAN недоступна. Убедитесь, что компьютер включен для выполнения задачи.

17. Сохраните внесенные изменения.
18. Установите флажок напротив задачи.
19. Нажмите на кнопку Запустить.

В результате Kaspersky Endpoint Security запустит поиск индикаторов компрометации на компьютере. Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты. Информацию об обнаруженных индикаторах компрометации вы можете посмотреть в свойствах задачи Параметры приложения → Результаты поиска IOC. Также в результатах поиска IOC вы можете вручную поместить обнаруженный файл на карантин или изолировать компьютер от сети.

Kaspersky Endpoint Security выполняет поиск дубликатов среди записей, полученных по одному IOC-файлу, и сохраняет в результатах задачи только уникальные записи. Дубликатами считаются записи одного типа, у которых совпадают значения всех сравниваемых полей. Также приложение может не создавать записи при отсутствии у них значений одного или нескольких полей (см. таблицу ниже).

Тип	Сравниваемые поля	Условие, при котором запись не создается
FileItem	FullPath Md5sum Sha256sum PID UPID ImagePath	У записи отсутствуют значения полей FullPath, Md5sum, Sha256sum. У записей отсутствует значение поля FullPath и совпадают значения полей Md5sum, Sha256sum.
RegistryItem	Hive KeyPath ValueName Text Type	У записи отсутствует значение какого-либо из следующих полей: Hive, KeyPath, ValueName.
ProcessItem	startTime PID	У записи отсутствуют значения полей startTime или PID.

В окне Детали алерта могут присутствовать записи RegistryItem с одинаковыми значениями полей. Данные записи не являются дубликатами, так как различаются значением поля Text, не отображающегося в интерфейсе.

Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.

В начало