Ein Kompromittierungsindikator (IOC) ist ein Datensatz, der sich auf ein Objekt oder eine Aktivität bezieht und der auf unbefugten Zugriff auf den Computer (Kompromittierung von Daten) hinweist. Beispielsweise können viele erfolglose Versuche, sich beim System anzumelden, einen Kompromittierungsindikator darstellen. Mithilfe der Aufgabe IOC-Untersuchung können Kompromittierungsindikatoren auf dem Computer gefunden und Maßnahmen zur Reaktion auf Bedrohungen ergreifen werden.
Kaspersky Endpoint Security sucht mithilfe von IOC-Dateien nach Kompromittierungsindikatoren. IOC-Dateien sind Dateien, die Sätze von Indikatoren enthalten, mit denen die Anwendung nach Übereinstimmungen sucht. IOC-Dateien müssen dem OpenIOC-Standard entsprechen.
Ausführungsmodus der Aufgabe IOC-Untersuchung
Mit „Kaspersky Endpoint Detection and Response“ können Sie standardmäßige IOC-Untersuchungsaufgaben erstellen, um kompromittierte Daten zu erkennen. Eine Standard-IOC-Untersuchungsaufgabe ist eine Gruppenaufgabe oder lokale Aufgabe, die manuell über die „Web Console“ erstellt und konfiguriert wird. Aufgaben werden unter Verwendung von IOC-Dateien ausgeführt, die vom Benutzer erstellt wurden. Wenn Sie einen Kompromittierungsindikator manuell hinzufügen möchten, lesen Sie bitte die Anforderungen für IOC-Dateien.
Die Datei, die Sie über den unten stehenden Link herunterladen können, enthält eine Tabelle mit einer vollständigen Liste der IOC-Bedingungen gemäß OpenIOC-Standard.
DATEI IOC_TERMS.XLSX HERUNTERLADEN
Kaspersky Endpoint Security unterstützt eigenständige IOC-Untersuchungsaufgaben auch, wenn die Anwendung als Teil der Lösung Kaspersky Sandbox verwendet wird.
Aufgabe IOC-Untersuchung erstellen
Sie können Aufgaben des Typs IOC-Untersuchung manuell erstellen:
Alarm-Details ist ein Tool, mit dem alle über eine erkannte Bedrohung gesammelten Informationen angezeigt werden können. Zu den Alarm-Details gehört beispielsweise der Verlauf der auf dem Computer angezeigten Dateien. Einzelheiten zur Verwaltung der Alarm-Details finden Sie in der Hilfe zu „Kaspersky Endpoint Detection and Response Optimum“ und in der Hilfe zu „Kaspersky Endpoint Detection and Response Expert“.
Sie können die Aufgabe für „EDR Optimum“ über „Web Console“ und „Cloud Console“ konfigurieren. Die Aufgabeneinstellungen für „EDR Expert“ sind nur in „Cloud Console“ verfügbar.
Um die Aufgabe IOC-Untersuchung zu erstellen:
Die Aufgabenliste wird geöffnet.
Der Assistent für neue Aufgaben wird gestartet.
Standardmäßig führt Kaspersky Endpoint Security die Aufgabe unter dem Systembenutzerkonto (SYSTEM) aus.
Das Systemkonto (SYSTEM) hat keine Berechtigung, die Aufgabe IOC-Untersuchung auf Netzlaufwerken auszuführen. Wenn Sie die Aufgabe für ein Netzlaufwerk ausführen möchten, wählen Sie das Konto eines Benutzers aus, der Zugriff auf dieses Laufwerk hat.
Für eigenständige IOC-Untersuchungsaufgaben auf Netzlaufwerken müssen Sie in den Aufgabeneigenschaften manuell das Benutzerkonto auswählen, das Zugriff auf dieses Laufwerk hat.
Die neue Aufgabe wird in der Aufgabenliste angezeigt.
Das Fenster mit den Aufgabeneigenschaften wird geöffnet.
Nachdem die IOC-Dateien geladen sind, können Sie die Liste der Indikatoren aus den IOC-Dateien ansehen.
Es wird davon abgeraten, IOC-Dateien nach dem Ausführen der Aufgabe hinzuzufügen oder zu entfernen. Die Folge könnte sein, dass die IOC-Untersuchungsergebnisse für eine zuvor ausgeführte Aufgabe fehlerhaft angezeigt werden. Um Kompromittierungsindikatoren für neue IOC-Dateien zu suchen, wird empfohlen, neue Aufgaben hinzuzufügen.
Kaspersky Endpoint Security wählt automatisch Datentypen (IOC-Dokumente) für die Aufgabe IOC-Untersuchung aus, wobei der Inhalt der geladenen IOC-Dateien berücksichtigt wird. Es wird nicht empfohlen, die Auswahl von Datentypen aufzuheben.
Sie können zusätzlich Scanbereiche für die folgenden Datentypen konfigurieren:
Standardmäßig untersucht Kaspersky Endpoint Security nur wichtige Bereiche des Computers auf IOCs. Dazu gehören beispielsweise der Ordner „Downloads“, der Desktop und der Ordner mit temporären Betriebssystemdateien. Sie können den Untersuchungsbereich auch manuell anpassen.
Beim Datentyp Windows-Registrierung - RegistryItem untersucht Kaspersky Endpoint Security eine Reihe von Registrierungsschlüsseln.
Wake-On-LAN ist für diese Aufgabe nicht verfügbar. Stellen Sie sicher, dass der Computer eingeschaltet ist, damit die Aufgabe ausgeführt werden kann.
Daraufhin durchsucht Kaspersky Endpoint Security den Computer nach Kompromittierungsindikatoren. Die Ergebnisse der Aufgabe können Sie in den Aufgabeneigenschaften im Abschnitt Ergebnisse einsehen. Sie können die Informationen zu erkannten Kompromittierungsindikatoren in den Aufgabeneigenschaften anzeigen: Programmeinstellungen → IOC-Untersuchungsergebnisse.
IOC-Untersuchungsergebnisse werden für 30 Tage gespeichert. Nach diesem Zeitraum löscht Kaspersky Endpoint Security automatisch die ältesten Einträge.
Nach oben