在 IoC 掃描中新增威脅

在裝置上設定定期掃描威脅時,或在使用者裝置上偵測到威脅後,您可以將威脅新增至 IoC 掃描中,以便檢查其他裝置有否遇到有關威脅。

您最多可以在每項 IoC 掃描中新增 200 個威脅。

將威脅新增至 IoC 掃描的步驟如下:

  1. 開啟 Kaspersky Next 管理控制台
  2. 選擇「安全管理」→「Endpoint Detection and Response」部分。
  3. 點擊「IoC 掃描」按鈕。
  4. 透過以下任何一種途徑新增威脅:
    • 如要將威脅新增至「新增威脅」,請點擊「主動掃描」按鈕。
    • 如要為所有掃描新增威脅,請點擊對應區塊上的「檢視」連結,然後點擊「新增」按鈕。

    新增威脅」視窗將開啟。

  5. 輸入威脅名稱。
  6. 如有必要,請輸入威脅描述。
  7. 在「入侵指標 (IoC)」部分,指定此威脅的 IoC:
    1. 如果您打算指定兩個或以上 IoC,請在「檢測標準」列表中選擇偵測條件(邏輯運算子):
      • 如果您希望在裝置上發現至少一個 IoC 時觸發警示(即使用 OR 邏輯運算子),請選擇「符合以下任何一項」。
      • 如果您希望只有在裝置上(即使用 AND 邏輯運算子)同時發現所有 IoC 時才觸發警示,請選擇「符合以下所有條件」。
    2. 在「指標 1」下方,選擇 IoC 類型,然後指定相關數值。

      如要將登錄機碼新增為 IoC,請從登錄配置單元開始(例如:HKEY_LOCAL_MACHINE\Software\Microsoft)。
      在您將登錄機碼新增為 IoC 後,Kaspersky Endpoint Security for Windows 只會掃描部分登錄機碼

    3. 如要新增更多 IoC 為威脅,請點擊「+ 新增指標」,然後指定其他 IoC。

      您最多可就每個威脅新增 100 個 IoC。

  8. 點擊「儲存」以儲存變更。

有關威脅現已新增到所選的 IoC 掃描。

頁首