Scanare pentru descoperirea indicatorilor de compromitere (activitate standard)

Un Indicator de compromitere (IOC) este un set de date despre un obiect sau o activitate care indică accesul neautorizat la computer (compromiterea datelor). De exemplu, multe încercări nereușite de conectare la sistem pot constitui un Indicator de compromitere. Activitatea Scanare IOC permite găsirea Indicatorilor de compromitere pe computer și luarea măsurilor de răspuns la amenințări.

Kaspersky Endpoint Security caută indicatorii de compromitere folosind fișiere IOC. Fișierele IOC sunt fișiere care conțin seturile de indicatori pe care aplicația încearcă să le potrivească pentru a contoriza o detectare. Fișierele IOC trebuie să fie conforme cu standardul OpenIOC.

Modul de rulare al activității Scanare IOC

Kaspersky Endpoint Detection and Response vă permite să creați activități standard de Scanare IOC pentru a detecta datele compromise. Activitate de scanare IOC standard este un grup sau o activitate locală care este creată și configurată manual în Web Console. Activitățile sunt executate folosind fișiere IOC pregătite de utilizator. Dacă vreți să adăugați manual un indicator de compromitere, citiți cerințele pentru fișiere IOC.

Fișierul pe care îl puteți descărca făcând clic pe linkul de mai jos, conține un tabel cu lista completă a termenilor IOC din standardul OpenIOC.

DESCĂRCAȚI FIȘIERUL IOC_TERMS.XLSX

Kaspersky Endpoint Security acceptă, de asemenea activități de scanare IOC autonome atunci când aplicația este utilizată ca parte a soluției Kaspersky Sandbox.

Crearea unei activități Scanare IOC

Puteți crea manual activități de Scanare IOC:

• În detaliile alertei (numai pentru EDR Optimum).

  Detalii detecție este un instrument pentru vizualizarea tuturor informațiilor colectate despre o amenințare detectată. Detaliile detecției includ, de exemplu, istoricul fișierelor care apar pe computer. Pentru detalii despre gestionarea detectării, consultați Ajutor Kaspersky Endpoint Detection and Response Optimum și Ajutor Kaspersky Endpoint Detection and Response Expert.

• Folosind Expertul de activitate.

Puteți configura activitatea pentru EDR Optimum în Web Console și Cloud Console. Setările activității pentru EDR Expert sunt disponibile numai în Cloud Console.

Pentru a crea o activitate Scanare IOC:

1. În fereastra principală a Web Console, selectați Devices → Tasks.

   Lista activităților se deschide.

2. Fă clic pe Add.

   Expertul de activitate pornește.

3. Configurați setările pentru activitate:
   1. În lista verticală Application, selectează Kaspersky Endpoint Security for Windows (12.5).
   2. În lista verticală Task type, selectează IOC Scan.
   3. În câmpul Task name, introduceți o descriere succintă.
   4. În blocul Select devices to which the task will be assigned, selectați domeniul activității.
4. Selectați dispozitive în funcție de opțiunea selectată pentru domeniul activității. Mergeți la pasul următor.
5. Introduceți acreditările contului utilizatorului ale cărui drepturi doriți să le utilizați pentru a executa activitatea. Mergeți la pasul următor.

   În mod implicit, Kaspersky Endpoint Security pornește activitatea drept cont de utilizator de sistem (SYSTEM).

   Contul de sistem (SYSTEM) nu are permisiunea să execute activitatea Scanare IOC pe unitățile de rețea. Dacă doriți să executați activitatea pentru o unitate de rețea, selectați contul unui utilizator care are acces la acea unitate.

   Pentru activitățile de Scanare IOC autonome pe unitățile de rețea, trebuie să selectați manual contul de utilizator care are acces la acea unitate în proprietățile activității.

6. Ieșiți din Expert.

   Se va afișa o activitate nouă în lista de activități.

7. Faceți clic pe activitatea nouă.

   Se va deschide fereastra de proprietăți a activității.

8. Selectați fila Application settings.
9. Accesează secțiunea IOC scan settings.
10. Încărcați fișierele IOC pentru a căuta indicatorii de compromitere.

    După încărcarea fișierelor IOC, puteți vizualiza lista indicatorilor din fișierele IOC.

    Adăugarea sau eliminarea fișierelor IOC după executarea activității nu este recomandată. Acest lucru poate face ca rezultatele scanării IOC să fie afișate incorect pentru executările anterioare ale activității. Pentru a căuta indicatorii de compromitere după noile fișiere IOC, se recomandă adăugarea de noi activități.

11. Configurați acțiunile la detectarea IOC:
    • Isolate computer from the network. Dacă această opțiune este selectată, Kaspersky Endpoint Security izolează computerul de rețea pentru a preveni răspândirea amenințării. Puteți configura durata izolării în Endpoint Detection and Response component settings.
    • Move copy to Quarantine, delete object. Dacă această opțiune este selectată, Kaspersky Endpoint Security șterge obiectul rău intenționat găsit pe computer. Înainte de a șterge obiectul, Kaspersky Endpoint Security creează o copie de rezervă în caz că obiectul trebuie restaurat ulterior. Kaspersky Endpoint Security mută copia de rezervă în Carantină.
    • Run scan of critical areas. Dacă această opțiune este selectată, Kaspersky Endpoint Security execută activitatea Scanare zone critice. În mod implicit, Kaspersky Endpoint Security scanează memoria kernel, procesele care se execută și sectoarele de boot ale discurilor.
12. Accesează secțiunea Advanced.
13. Selectați tipurile de date (documente IOC) care trebuie analizate ca parte a activității.

    Kaspersky Endpoint Security selectează automat tipurile de date (documente IOC) pentru activitatea Scanare IOC în conformitate cu conținutul fișierelor IOC încărcate. Nu este recomandat să deselectați tipurile de date.

    În plus, puteți configura domeniile de scanare pentru următoarele tipuri de date:

    • Files - FileItem. Setați un Domeniu de scanare IOC pe computer utilizând domenii prestabilite.

      În mod implicit, Kaspersky Endpoint Security scanează pentru depistarea IOC numai zonele importante ale computerului, cum ar fi directorul Descărcări, desktop-ul, directorul cu fișierele temporare ale sistemului de operare etc. De asemenea, puteți adăuga manual și domeniul de scanare.

    • Windows event logs - EventLogItem. Introduceți perioada de timp în care au fost înregistrate evenimentele. De asemenea, puteți selecta care jurnal de evenimente Windows trebuie utilizat pentru scanarea IOC. În mod implicit, sunt selectate următoarele jurnale de evenimente: jurnal evenimente aplicație, jurnal evenimente de sistem și jurnal evenimente de securitate.

    Pentru tipul de date Windows registry - RegistryItem, Kaspersky Endpoint Security scanează un set de chei de registry.

14. În fereastra cu proprietățile activității, selectați fila Schedule.
15. Configurați planificarea activității.

    Opțiunea Wake-on-LAN nu este disponibilă pentru această activitate. Asigurați-vă că este pornit computerul pentru a executa această activitate.

16. Salvați-vă modificările.
17. Bifați caseta de selectare de lângă activitate.
18. Fă clic pe Start.

Ca urmare, Kaspersky Endpoint Security execută căutarea indicatorilor de compromitere pe computer. Puteți vizualiza rezultatele căutării în proprietățile activităților din secțiunea Results. Puteți vizualiza informațiile despre indicatorii de compromitere detectați în proprietățile activității: Application settings → IOC Scan Results.

Rezultatele scanării IOC sunt păstrate timp de 30 de zile. După această perioadă, Kaspersky Endpoint Security șterge automat intrările cele mai vechi.

Începutul paginii