定义 IoC 扫描设置

在设备上配置定期扫描威胁时，您可以定义以下扫描设置：计划、范围和自动响应操作。

要定义 IoC 扫描的设置：

1. 打开 Kaspersky Next 管理控制台。
2. 选择“安全管理”→“Endpoint Detection and Response”部分。
3. 单击“IoC 扫描”按钮。
4. 在所需扫描的图块上，单击垂直省略号，然后单击“定义扫描设置”。

   “扫描设置”窗口打开。

5. 在“计划”列表中，选择所需的值：
   • “未指定”（默认）

     IoC 扫描不会运行。

   • 每日

     指定 IoC 扫描必须运行的时间。

   • 每周

     指定每周必须运行 IoC 扫描的日子和时间。

   “自定义扫描”将在 UTC±00:00 时区的指定时间运行。“主动扫描”和“被动扫描”将在设备操作系统时区的指定时间运行。如果受保护的设备在计划时间处于离线状态，则该任务将在设备上线后立即运行。

6. 在“扫描范围”下，单击“编辑”链接以指定必须运行 IoC 扫描的设备列表。

   选中需要扫描的设备旁边的复选框，并取消选中要排除的设备旁边的复选框。单击“保存”以保存更改。

   此设置仅适用于“自定义扫描”。对于其他扫描（“主动扫描”和“被动扫描”），扫描范围是所有用户 Windows 设备。扫描范围不可修改。

   之后新增的所有设备都将自动纳入扫描范围。因此，如果您想将它们排除在自定义扫描范围之外，则必须手动执行此操作。

7. 在“响应操作”下，选择检测到指定威胁时要采取的响应操作：
   • 仅警报

     检测到威胁的事件被添加至事件日志。不采取任何其他操作。

   • 警报和响应

     检测到威胁的事件被添加至事件日志。此外，还会采取所选的响应操作：

     • 运行关键区域扫描

       Kaspersky Endpoint Security for Windows 会扫描受影响设备的内核内存、正在运行的进程和磁盘引导扇区。

     • 将副本移动到隔离区并删除对象

       Kaspersky Endpoint Security for Windows 首先会创建在设备上发现的恶意对象的备份副本，以防之后需要恢复该对象。备份副本将移动到隔离区。然后，Kaspersky Endpoint Security for Windows 会删除该对象。

     • 将设备与网络隔离

       Kaspersky Endpoint Security for Windows 会将设备与网络隔离，以防止威胁蔓延或敏感信息泄露。要配置隔离持续时间，请单击“设置”，然后选择所需的值。

       三种 IoC 扫描的隔离持续时间相同。如果您在其中一种扫描的设置中更改该值，该更改将应用于其他扫描。
       或者，您也可以选择“安全管理”→“Endpoint Detection and Response”部分，然后单击“响应设置”→“网络隔离”来配置隔离持续时间。

8. 单击“保存”以保存更改。

已定义所选 IoC 扫描的设置。

页面顶部