Quét các dấu hiệu về sự xâm nhập (tác vụ tiêu chuẩn)

Một Dấu hiệu về sự xâm nhập (IOC) là một tập hợp dữ liệu về một đối tượng hoặc hoạt động cho biết sự truy cập trái phép vào máy tính (xâm nhập dữ liệu). Ví dụ: nhiều nỗ lực đăng nhập không thành công vào hệ thống có thể cấu thành một Dấu hiệu về sự xâm nhập. Tác vụ Quét IOC cho phép tìm các Dấu hiệu về sự xâm nhập trên máy tính và thực hiện các biện pháp ứng phó với mối đe dọa.

Kaspersky Endpoint Security sẽ tìm kiếm các dấu hiệu về sự xâm nhập bằng cách sử dụng các tập tin IOC. Tập tin IOC là các tập tin chứa các tập hợp dấu hiệu mà ứng dụng cố gắng đối chiếu để đếm một lần phát hiện. Các tập tin IOC phải tuân theo tiêu chuẩn OpenIOC.

Chế độ chạy tác vụ quét IOC

Kaspersky Endpoint Detection and Response cho phép bạn tạo các tác vụ Quét IOC tiêu chuẩn để phát hiện dữ liệu bị xâm nhập. Tác vụ quét IOC tiêu chuẩn là một nhóm hoặc tác vụ cục bộ được tạo và cấu hình theo cách thủ công trong Bảng điều khiển web. Các tác vụ được chạy bằng các tập tin IOC do người dùng chuẩn bị. Nếu bạn muốn thêm dấu hiệu về sự xâm nhập theo cách thủ công, vui lòng đọc yêu cầu đối với các tập tin IOC.

Tập tin mà bạn có thể tải về bằng cách nhấn vào liên kết bên dưới, có chứa một bảng kèm danh sách đầy đủ các từ của tiêu chuẩn OpenIOC.

TẢI XUỐNG TẬP TIN IOC_TERMS.XLSX

Kaspersky Endpoint Security cũng hỗ trợ tác vụ quét IOC độc lập khi ứng dụng được sử dụng như một phần của giải pháp Kaspersky Sandbox.

Tạo một tác vụ Quét IOC

Bạn có thể tạo các tác vụ Quét IOC theo cách thủ công:

• Chi tiết về cảnh báo (chỉ dành cho EDR Optimum).

  Chi tiết về phát hiện là một công cụ để xem toàn bộ thông tin thu thập được về một mối đe dọa được phát hiện. Chi tiết về phát hiện bao gồm, ví dụ như lịch sử của các tập tin xuất hiện trên máy tính. Để biết chi tiết về việc quản lý thông tin chi tiết về phát hiện, hãy tham khảo Trợ giúp của Kaspersky Endpoint Detection and Response Optimum và Trợ giúp của Kaspersky Endpoint Detection and Response Expert.

• Sử dụng Trình hướng dẫn Tác vụ.

Bạn có thể cấu hình tác vụ cho EDR Optimum trong Bảng điều khiển web và Bảng điều khiển đám mây. Thiết lập tác vụ cho EDR Expert chỉ khả dụng trong Bảng điều khiển đám mây.

Để tạo ra một tác vụ Quét IOC:

1. Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Devices → Tasks.

   Danh sách tác vụ sẽ mở.

2. Nhấn nút Add.

   Trình hướng dẫn Tác vụ sẽ được bắt đầu.

3. Cấu hình các thiết lập của tác vụ:
   1. Trong danh sách thả xuống Application, hãy chọn Kaspersky Endpoint Security for Windows (12.3).
   2. Trong danh sách thả xuống Task type, hãy chọn IOC Scan.
   3. Trong trường Task name, hãy nhập một mô tả ngắn.
   4. Trong phần Select devices to which the task will be assigned, chọn phạm vi tác vụ.
4. Chọn các thiết bị theo phạm vi tác vụ được chọn. Chuyển sang bước tiếp theo.
5. Nhập thông tin đăng nhập tài khoản của người dùng có quyền mà bạn muốn sử dụng để chạy tác vụ. Chuyển sang bước tiếp theo.

   Theo mặc định, Kaspersky Endpoint Security sẽ khởi chạy tác vụ dưới quyền tài khoản người dùng hệ thống (SYSTEM).

   Tài khoản hệ thống (SYSTEM) không có quyền thực hiện tác vụ Quét IOC trên các ổ đĩa mạng. Nếu bạn muốn chạy tác vụ cho một ổ đĩa mạng, hãy chọn tài khoản của người dùng có quyền truy cập vào ổ đĩa đó.

   Đối với các tác vụ Quét IOC độc lập trên ổ đĩa mạng, trong thuộc tính của tác vụ, bạn cần chọn thủ công tài khoản người dùng có quyền truy cập vào ổ đĩa này.

6. Thoát Trình hướng dẫn.

   Một tác vụ mới sẽ được hiển thị trong danh sách các tác vụ.

7. Nhấn tác vụ mới.

   Cửa sổ thuộc tính tác vụ sẽ được mở ra.

8. Chọn thẻ Application settings.
9. Vào mục IOC scan settings.
10. Tải các tập tin IOC để tìm kiếm các dấu hiệu về sự xâm nhập.

    Sau khi tải các tập tin IOC, bạn có thể xem danh sách các chỉ số trong các tập tin IOC.

    Không nên thêm hoặc xóa tập tin IOC sau khi chạy tác vụ. Làm vậy có thể khiến kết quả quét IOC hiển thị không chính xác cho các lần chạy tác vụ trước đó. Để tìm kiếm các dấu hiệu về sự xâm nhập bằng các tập tin IOC mới, bạn nên thêm các tác vụ mới.

11. Cấu hình các hành động khi phát hiện IOC:
    • Isolate computer from the network. Nếu chọn tùy chọn này, Kaspersky Endpoint Security sẽ cách ly máy tính khỏi mạng để ngăn chặn mối đe dọa lây lan. Bạn có thể cấu hình thời gian cách ly trong thiết lập thành phần Endpoint Detection and Response.
    • Move copy to Quarantine, delete object. Nếu tùy chọn này được chọn, Kaspersky Endpoint Security sẽ xóa đối tượng độc hại được tìm thấy trên máy tính. Trước khi xóa đối tượng, Kaspersky Endpoint Security sẽ tạo một bản sao lưu trong trường hợp đối tượng cần được khôi phục sau này. Kaspersky Endpoint Security sẽ di chuyển bản sao lưu vào Khu vực cách ly.
    • Run scan of critical areas. Nếu tùy chọn này được chọn, Kaspersky Endpoint Security sẽ chạy tác vụ Quét khu vực quan trọng. Theo mặc định, Kaspersky Endpoint Security sẽ quét nhân kernel, các tiến trình đang chạy, và phân vùng khởi động ổ đĩa.
12. Vào mục Advanced.
13. Chọn loại dữ liệu (tài liệu IOC) cần phải được phân tích thuộc một phần của tác vụ.

    Kaspersky Endpoint Security sẽ tự động chọn loại dữ liệu (tài liệu IOC) cho tác vụ Quét IOC theo nội dung của các tập tin IOC được nạp. Bạn không nên bỏ chọn các loại dữ liệu.

    Bạn có thể cấu hình thêm các phạm vi quét cho các loại dữ liệu sau:

    • Files - FileItem. Đặt một phạm vi quét IOC trên máy tính sử dụng các phạm vi quét định sẵn.

      Theo mặc định, Kaspersky Endpoint Security sẽ chỉ quét các IOC trong các khu vực quan trọng của máy tính như thư mục Downloads, thư mục Desktop, thư mục chứa các tập tin tạm thời của hệ điều hành, v.v. Bạn cũng có thể thêm phạm vi quét theo cách thủ công.

    • Windows event logs - EventLogItem. Nhập khoảng thời gian khi các sự kiện được ghi nhật ký. Bạn cũng có thể lựa chọn nhật ký sự kiện Windows nào phải được sử dụng để quét IOC. Theo mặc định, các nhật ký sự kiện sau sẽ được lựa chọn: nhật ký sự kiện ứng dụng, nhật ký sự kiện hệ thống và nhật ký sự kiện bảo mật.

    Với loại dữ liệu Windows registry - RegistryItem, Kaspersky Endpoint Security sẽ quét một tập hợp các khóa registry.

14. Trong cửa sổ thuộc tính tác vụ, hãy chọn thẻ Schedule.
15. Cấu hình lịch tác vụ.

    Wake-on-LAN không khả dụng cho tác vụ này. Đảm bảo rằng máy tính được bật để chạy tác vụ.

16. Lưu các thay đổi của bạn.
17. Chọn hộp kiểm cạnh tác vụ.
18. Nhấn nút Run.

Kết quả là Kaspersky Endpoint Security sẽ chạy lệnh tìm kiếm các dấu hiệu về sự xâm nhập trên máy tính. Bạn có thể xem kết quả tác vụ trong các thuộc tính tác vụ trong mục Results. Bạn có thể xem thông tin về các dấu hiệu về sự xâm nhập được phát hiện trong thuộc tính của tác vụ: Application settings → IOC Scan Results.

Kết quả quét IOC được lưu trong vòng 30 ngày. Sau khoảng thời gian này, Kaspersky Endpoint Security sẽ tự động xóa các mục cũ nhất.

Về đầu trang