Для ретроспективного поиска IOC рекомендуется включить расширенный сбор телеметрии на компьютере. Расширенный сбор телеметрии позволяет более точно определять индикаторы компрометации, но требует больше ресурсов компьютера.
Расширенный сбор телеметрии дополнительно включает в себя поддержку следующих терминов:
FileItem/Md5sum;
FileItem/Sha256sum;
FileItem/SizeInBytes;
FileItem/Created;
FileItem/Modified;
FileItem/Changed;
FileItem/Accessed;
FileItem/FileAttributes.
Если расширенный сбор телеметрии выключен, то Kaspersky Endpoint Security может выполнять ротацию данных об обнаруженных индикаторах компрометации.
Чтобы включить расширенный сбор телеметрии, выполните следующие действия:
В главном окне Web Console выберите Активы (Устройства) → Политики и профили политик.
Нажмите на название политики Kaspersky Endpoint Security.
Откроется окно свойств политики.
Выберите вкладку Параметры приложения.
Перейдите в раздел Встроенные агенты → Endpoint Detection and Response.
Установите флажок Включить расширенное логирование активности в системе.