IOC-проверка

IOC-проверка – это поиск признаков целевых атак, а также зараженных и возможно зараженных объектов на устройствах с помощью IOC-файлов (индикаторов компрометации), скачанных вручную через Консоль OSMP.

Для выполнения IOC-проверки у вас должно быть:

• Установленный на ваших устройствах Kaspersky Endpoint Security со встроенным агентом.
• Хотя бы одно правило в списке IOC-правил.

Чтобы выполнить IOC-проверку:

1. Выберите действие по реагированию IOC-проверка.

   Откроется панель Запустить IOC-проверку.

2. В раскрывающемся списке Правила выберите одно или несколько IOC-правил.
3. При необходимости настройте следующие параметры:
   • Укажите тенант.

     Если вы выполнили действие по реагированию из списка IOC-правил и выбрали правила, принадлежащие разным тенантам, поле Тенант будет пусто. Вам нужно вручную указать тенант, для устройств которого вы хотите выполнить IOC-проверку.

   • Измените область действия по реагированию.

     По умолчанию в группе параметров Область действия выбран параметр Указанные активы и раскрывающийся список Активы содержит названия устройств, для которых вы ранее установили флажки. Это означает, что на этих устройствах будет выполняться IOC-проверка.

     Вы можете изменить устройства для проверки или выбрать вариант Все активы в группе параметров Область действия для проверки всех устройств, принадлежащих тенанту алерта или инцидента и его дочерним тенантам.

     Для выбора доступны только те активы, с которыми вы можете выполнить действие по реагированию.
     Устройства отображаются следующим образом: устройства, относящиеся к алерту или инциденту, помещаются в начало раскрывающего списка Активы, затем в алфавитном порядке отображаются устройства, принадлежащие тенанту алерта или инцидента, а также дочерним тенантам.

   • В поле Максимальная продолжительность проверки (в часах) укажите максимальную продолжительность проверки.

     Значение по умолчанию – 23. По истечении указанного времени проверка останавливается, даже если некоторые правила не были применены для проверки устройств. Результат действия по реагированию содержит данные, актуальные на момент остановки проверки.

   • В поле Описание напишите описание или комментарий к действию по реагированию.
4. Нажмите на кнопку Запустить.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Просмотр результата действия по реагированию

Вы можете просмотреть результаты выполнения действия по реагированию одним из следующих способов:

• В главном меню в разделе История реагирований.
• На вкладке История в деталях алерта или инцидента.

В столбце Активы нужно перейти по ссылке с количеством активов, для которых была запущена IOC-проверка. В открывшемся окне с выбранной вкладкой Результат вы можете просмотреть статус проверки для каждого IOC-правила. Если при сканировании будет обнаружена угроза, будет создан соответствующий алерт. Вы можете перейти к алерту из результатов выполнения действия по реагированию.

Если не удалось завершить действие по реагированию, отображается сообщение об ошибке с информацией о причине ошибки.

В начало