セキュリティ侵害インジケーター(IOC)のスキャン

セキュリティ侵害インジケーター(IOC)とは、コンピューターへの認証されないアクセス(コンピューターの侵害)の痕跡を示すオブジェクトまたは活動に関する一連のデータです。たとえば、システムへのログインを複数回失敗すると、セキュリティ侵害インジケーターの構成要素となります。IOC スキャンタスクは、コンピューターのセキュリティ侵害インジケーターを検索し、脅威への対応方法を確立するのに役立ちます。

Kaspersky Endpoint Security は IOC ファイルを使用して侵害インジケーターを検索します。IOC ファイルは、本製品が検知の判断時に一致させる一連のインジケーターを含むファイルです。IOC ファイルは OpenIOC 標準に準拠している必要があります。

IOC スキャンタスクの実行モード

Kaspersky Endpoint Detection and Response を使用して、侵害されたデータを検知する標準の IOC スキャンタスクを作成できます。標準の IOC スキャンタスクは Web コンソールで手動で作成および設定されたタスクまたはタスクのグループを意味します。タスクは、ユーザーが準備した IOC ファイルを使用して実行されます。手動で侵害インジケーターを追加する場合は、IOC ファイルの要件を参照してください。

以下のリンクをクリックしてダウンロードできるファイルには、すべての OpenIOC 標準の IOC タームの一覧が含まれています。

こちらのリンクから IOC_TERMS.XLSX ファイルをダウンロードできます

Kaspersky Endpoint Security は、本製品が Kaspersky Sandbox ソリューションの一部として使用されている場合はスタンドアロンの IOC スキャンタスクをサポートします。

IOC スキャンタスクの作成

IOC スキャンタスクは、手動で作成することができます:

EDR Optimum のタスクは、Web コンソールおよび Cloud コンソールで設定できます。EDR Expert のタスク設定は Cloud コンソールのみで使用可能です。

IOC スキャン]タスクを作成するには:

  1. Web コンソールのメインウィンドウで、[デバイス]→[タスク]の順に選択します。

    タスクのリストが表示されます。

  2. 追加]をクリックします。

    タスクウィザードが起動します。

  3. タスクの設定を指定します:
    1. アプリケーションドロップダウンリストで、Kaspersky Endpoint Security for Windows (12.3)を選択します。
    2. タスク種別]で、[IOC スキャン]を選択します。
    3. タスク名]に簡潔な内容を入力します。
    4. タスクを割り当てるデバイスの選択]ブロックで、タスク範囲の指定方法を選択します。
  4. タスク範囲の指定方法に応じて、対象デバイスを選択します。次の手順に進みます。
  5. タスクの実行に使用するユーザーアカウントの認証情報を入力します。次の手順に進みます。

    既定では、Kaspersky Endpoint Security はタスクをシステムユーザーアカウント(SYSTEM)として開始します。

    システムアカウント(SYSTEM)にはネットワークドライブの IOC スキャンタスクを実行する権限がありません。ネットワークドライブに対してタスクを実行する場合に、そのドライブにアクセス権のあるユーザーアカウントを選択してください。

    ネットワークドライブのスタンドアロンの IOC スキャンタスクには、タスクのプロパティで、そのドライブにアクセス権のあるユーザーアカウントを手動で選択する必要があります。

  6. ウィザードを終了します。

    タスクのリストに新しいタスクが表示されます。

  7. 新しいタスクをクリックします。

    タスクのプロパティウィンドウが表示されます。

  8. アプリケーション設定]タブを選択します。
  9. IOC スキャン設定]に移動します。
  10. 侵害インジケーターを検索するために IOC ファイルを読み込みます。

    IOC ファイルの読み込み後、IOC ファイルのインジケーターのリストが表示できます。

    タスク実行後の IOC ファイルの追加または削除は推奨されません。前回実行された IOC スキャン結果が正しく表示されないことがあります。IOC ファイルの侵害インジケーターを検索するには、新しいタスクを追加するようにしてください。

  11. IOC 検知時の動作の設定:
    • コンピューターをネットワークから分離する:このオプションを選択した場合、Kaspersky Endpoint Security は脅威の拡散を防ぐためにコンピューターをネットワークから分離します。分離時間はEndpoint Detection and Response コンポーネントの設定で設定できます。
    • コピーを隔離に移動し、オブジェクトを削除する:このオプションを選択した場合、Kaspersky Endpoint Security はコンピューターで検知された悪意のあるオブジェクトを削除します。オブジェクトを削除する前に、後で復元する必要があった場合に備えて Kaspersky Endpoint Security はオブジェクトのバックアップコピーを作成します。バックアップコピーは隔離に移動されます。
    • 簡易スキャンを実行する:このオプションを選択した場合、Kaspersky Endpoint Security は簡易スキャンタスクを実行します。既定では、カーネルメモリ、実行中のプロセスおよびスタートアップオブジェクト、ディスクブートセクターをスキャンします。
  12. 詳細]に移動します。
  13. タスクの一部として分析される必要のあるデータ種別(IOC ドキュメント)を選択します。

    Kaspersky Endpoint Security は、読み込まれた IOC ファイルの内容に従って IOC スキャンタスク用のデータ種別(IOC ドキュメント)を自動で選択します。選択されたデータ種別の選択解除は推奨されません。

    次のデータ種別に対してスキャン範囲を追加で設定できます:

    • ファイル - FileItem:事前定義された範囲を使用してコンピューター上の IOC スキャン範囲を設定します。

      既定では、Kaspersky Endpoint Security はコンピューターの重要な領域(ダウンロードフォルダー、デスクトップ、一時的なオペレーティングシステムのファイルがあるフォルダーなど)のみの IOC をスキャンします。スキャン範囲を手動で追加することもできます。

    • Windows イベントログ - EventLogItem:イベントが記録された際の時間周期を入力します。IOC スキャンに使用する必要のある Windows イベントログを選択することもできます。既定では、次のイベントログが選択されています:アプリケーションイベントログ、システムイベントログ、セキュリティイベントログ。

    Kaspersky Endpoint Security はデータ種別Windows レジストリ - RegistryItemに対しては、レジストリキー一式をスキャンします。

  14. コンピューターのプロパティウィンドウで、[スケジュール]タブを選択します。
  15. タスクのスケジュールを設定します。

    このタスクでは Wake-on-LAN は使用できません。コンピューターの電源がオンになっていて、タスクを実行できることを確認してください。

  16. 変更内容を保存します。
  17. タスクの横にあるチェックボックスをオンにします。
  18. 開始]をクリックします。

Kaspersky Endpoint Security はコンピューター上にある侵害インジケーターの検索を実行します。[結果]のタスクのプロパティでタスクの結果を確認できます。[アプリケーション設定]→[IOC スキャン結果]の順に選択して、タスクのプロパティで侵害インジケーターに関する情報を表示することができます。

IOC スキャン結果は 30 日間保持されます。この期間を経過すると、Kaspersky Endpoint Security は最も古いデータを自動的に削除します。

ページのトップに戻る