При настройке регулярной проверки наличия угроз на устройствах или после обнаружения угрозы на одном из устройств пользователей, можно добавить угрозу в поиск IOC, чтобы выполнялась проверка других устройства на наличие этой угрозы.
Для каждого Поиска IOC можно добавить не более 200 угроз.
Чтобы добавить угрозу в поиск IOC, выполните следующие действия:
Выберите раздел Управление безопасностью → Endpoint Detection and Response.
Нажмите на кнопку Поиск IOC.
Добавьте угрозу одним из следующих способов:
Чтобы добавить угрозу в Превентивный поиск, нажмите на кнопку Добавить угрозу.
Чтобы добавить угрозу для любого типа проверки, нажмите на соответствующую ссылку Просмотр, а затем нажмите на кнопку Добавить.
Откроется окно Добавить угрозу.
Введите имя угрозы.
При необходимости введите описание угрозы.
В разделе Индикаторы компрометации (IOC) укажите индикаторы компрометации для этой угрозы:
Чтобы указать несколько индикаторов компрометации, в списке Критерии обнаружения выберите критерии обнаружения (логический оператор):
Совпадение с ЛЮБЫМ из следующих, чтобы обнаружение возникало, если на устройстве найден хотя бы один индикатор компрометации (логический оператор ИЛИ).
Совпадение со ВСЕМИ следующими, чтобы обнаружение возникало, если на устройстве найдены одновременно все индикаторы компрометации (логический оператор И).
В разделе Индикатор 1 выберите тип индикатора компрометации и укажите его значение.
При добавлении раздела реестра в качестве IOC начните с куста реестра (например, HKEY_LOCAL_MACHINE\Software\Microsoft). При добавлении раздела реестра в качестве IOC Kaspersky Endpoint Security для Windows проверяет только отдельные разделы реестра.
Чтобы добавить к угрозе больше индикаторов компрометации, нажмите + Добавить индикатор, а затем укажите следующий индикатор компрометации.
Для каждой угрозы можно добавить не более 100 индикаторов компрометации.