Настройка параметров Поиска IOC

При настройке регулярной проверки устройств на наличие угроз можно задать следующие параметры: расписание, область и автоматические действия по реагированию.

Чтобы настроить параметры Поиска IOC, выполните следующие действия:

  1. Запустите Консоль управления Kaspersky Next.
  2. Выберите раздел Управление безопасностьюEndpoint Detection and Response.
  3. Нажмите на кнопку Поиск IOC.
  4. Рядом с требуемым типом поиска наведите указатель на три точки по вертикали и выберите пункт Настроить параметры проверки.

    Откроется окно Параметры проверки.

  5. В списке Расписание выберите требуемое значение:
    • Не указано (по умолчанию)

      Поиск IOC не выполняется.

    • Каждый день

      Поиск IOC запускаться не будет.

    • Каждую неделю

      Укажите день недели и время запуска Поиска IOC.

    Пользовательский поиск будет проводиться в указанное время в часовом поясе UTC±00:00. Превентивный поиск и Реактивный поиск будут запускаться в указанное время в часовом поясе операционной системы устройства. Если защищаемое устройство не подключено к сети в указанное время, задача будет запущена, как только устройство подключится к сети.

  6. В разделе Область проверки перейдите по ссылке Редактировать и укажите список устройств, на которых будет выполняться поиск индикаторов компрометации.

    Установите флажки рядом с устройствами, которые нужно добавить, и снимите флажки рядом с устройствами, которые нужно исключить. Нажмите Сохранить, чтобы сохранить изменения.

    Этот параметр доступен только для проверки с типом Пользовательский поиск. Областью действия для других типов поиска (Превентивный поиск и Реактивный поиск) являются все устройства пользователей с операционной системой Windows. Ее нельзя изменить.

    Все новые устройства, добавляемые в дальнейшем, будут автоматически включены в область проверки. Поэтому их можно исключить из области пользовательской проверки только вручную.

  7. В разделе Меры реагирования выберите действия, которые будут выполняться при обнаружении указанных угроз:
    • Только обнаруживать

      Событие обнаружения угрозы добавляется в журнал событий. Никаких других действий не выполняется.

    • Обнаруживать и уведомлять

      Событие обнаружения угрозы добавляется в журнал событий. Дополнительно выполняются выбранные действия по реагированию:

      • Запустить проверку важных областей

        Kaspersky Endpoint Security для Windows проверяет память ядра, запущенные процессы и загрузочные сектора диска затронутого устройства.

      • Поместить копию объекта в карантин и удалить объект

        Kaspersky Endpoint Security для Windows сначала создает резервную копию вредоносного объекта, обнаруженного на устройстве, на случай, если впоследствии объект потребуется восстановить. Резервная копия перемещается в карантин. Затем Kaspersky Endpoint Security для Windows удаляет объект.

      • Изолировать устройство от сети

        Kaspersky Endpoint Security для Windows изолирует устройство от сети, чтобы предотвратить распространение угрозы или утечку конфиденциальной информации. Чтобы настроить продолжительность изоляции, нажмите на кнопку Параметры и выберите необходимое значение.

        Длительность изоляции является общей для всех трех типов поиска индикаторов компрометации. При изменении значения в параметрах одного типа поиска, оно распространится на остальные.
        В качестве альтернативы можно настроить продолжительность изоляции, выбрав раздел Управление безопасностьюEndpoint Detection and Response, а затем выбрав Параметры реагированияСетевая изоляция.

  8. Нажмите Сохранить, чтобы сохранить изменения.

Параметры выбранного Поиска IOC настроены.

В начало