الفحص للبحث عن مؤشرات الاختراق (مهمة قياسية).

مؤشر الاختراق (IOC) عبارة عن مجموعة من البيانات حول كائن أو نشاط يشير إلى وصول غير مصرح به إلى الكمبيوتر (اختراق البيانات). على سبيل المثال، من الممكن أن تشكل العديد من المحاولات الفاشلة لتسجيل الدخول إلى النظام مؤشرًا على الاختراق. تتيح مهام فحص مؤشر الاختراق العثور على مؤشرات الاختراق على الكمبيوتر واتخاذ إجراءات الاستجابة للتهديدات.

يبحث Kaspersky Endpoint Security عن مؤشرات الاختراق باستخدام ملفات IOC.‏ ملفات IOC هي ملفات تحتوي على مجموعات المؤشرات التي يحاول التطبيق مطابقتها لإحصاء الاكتشاف. ويجب أن تتوافق ملفات IOC مع معيار OpenIOC.‏

وضع تشغيل مهمة فحص IOC

يتيح لك Kaspersky Endpoint Detection and Response إنشاء مهام فحص IOC قياسية لاكتشاف البيانات المخترقة. مهمة فحص IOC القياسية هي مجموعة أو مهمة محلية يتم إنشاؤها وتكوينها يدويًا في Web Console. ويتم تشغيل المهام باستخدام ملفات IOC التي أعدها المستخدم. إذا كنت ترغب في إضافة مؤشر الاختراق يدويًا، فيرجى قراءة متطلبات ملفات IOC.‏

يحتوي الملف الذي يمكنك تنزيله بالنقر فوق الارتباط أدناه على جدول يحتوي على قائمة كاملة بشروط IOC لمعيار OpenIOC.‏

تنزيل ملف ‏DOWNLOAD THE IOC_TERMS.XLSX‏

يدعم Kaspersky Endpoint Security أيضًا مهام مسح IOC المستقلة عند استخدام التطبيق كجزء من حل Kaspersky Sandbox.‏

إنشاء مهمة فحص IOC

تستطيع إنشاء مهام فحص IOC يدويًا:

• في تفاصيل التنبيه (لتطبيق EDR Optimum فقط).

  تفاصيل الاكتشاف عبارة عن أداة لعرض كامل المعلومات التي تم جمعها حول التهديد المكتشف. وتتضمن تفاصيل الاكتشاف، على سبيل المثال، محفوظات الملفات التي تظهر على الكمبيوتر. وللحصول على التفاصيل عن إدارة تفاصيل الاكتشاف، يرجى الرجوع إلى تعليمات Kaspersky Endpoint Detection and Response Optimum‏ و‏تعليمات Kaspersky Endpoint Detection and Response Expert‏.‏

• استخدام معالج المهام.

يمكنك تكوين مهمة EDR Optimum في Web Console وCloud Console. وتتوفر إعدادات مهام EDR Expert فقط في Cloud Console.‏

لإنشاء مهمة فحص IOC:‏

1. في النافذة الرئيسية لـ Web Console، حدد الأجهزة ← المهام.‏

   تفتح قائمة المهام.

2. انقر فوق الزر إضافة.‏

   يبدأ معالج المهمة.

3. تكوين إعدادات المهمة:
   1. في القائمة المنسدلة التطبيق، حدد ‎Kaspersky Endpoint Security for Windows ‎(11.11.0)‎.
   2. في القائمة المنسدلة نوع المهمة، حدد فحص IOC.
   3. في الحقل اسم المهمة، أدخل وصفًا مختصرًا.
   4. في القسم حدد الأجهزة التي سيتم تعيين المهمة لها، حدد نطاق المهمة.
4. حدد الأجهزة وفقًا لخيار نطاق المهمة المحدد. انتقل إلى الخطوة التالية.
5. أدخل بيانات اعتماد حساب المستخدم الذي تريد استخدام حقوقه لتشغيل المهمة. انتقل إلى الخطوة التالية.

   افتراضيًا، يبدأ Kaspersky Endpoint Security المهمة كحساب مستخدم للنظام (SYSTEM).‏

   لا يمتلك حساب النظام (SYSTEM) إذنًا لأداء مهمة فحص IOC على محركات أقراص الشبكة. وإذا كنت تريد تشغيل المهمة لمحرك أقراص الشبكة، فحدد حساب المستخدم الذي يمتلك حق الوصول إلى محرك الأقراص هذا.

   لمهام فحص IOC المستقلة على محركات أقراص الشبكة، في خصائص المهمة، تحتاج إلى تحديد حساب المستخدم الذي يمتلك حق الوصول إلى محرك الأقراص هذا يدويًا.

6. أغلق المعالج.

   سيتم عرض مهمة جديدة في قائمة المهام.

7. انقر فوق المهمة الجديدة.

   نافذة خصائص المهمة.

8. حدد علامة التبويب إعدادات التطبيق.
9. انتقل إلى القسم IOC scan settings.
10. قم بتحميل ملفات IOC للبحث عن مؤشرات الاختراق.

    بعد تحميل ملفات IOC، يمكنك عرض قائمة المؤشرات من ملفات IOC.‏

    لا يوصى بإضافة ملفات IOC أو إزالتها بعد تشغيل المهمة. ومن الممكن أن يتسبب هذا في عرض نتائج فحص IOC بشكل غير صحيح لعمليات التشغيل السابقة للمهمة. وللبحث في مؤشرات الاختراق حسب ملفات IOC الجديدة، يوصى بإضافة مهام جديدة.

11. تكوين الإجراءات عند اكتشاف IOC:‏
    • Isolate computer from the network. في حالة تحديد هذا الخيار، يعزل Kaspersky Endpoint Security الكمبيوتر من الشبكة لمنع انتشار التهديد. ويمكنك تكوين مدة العزل في إعدادات مكون Endpoint Detection and Response .
    • Move copy to Quarantine, delete object. في حالة تحديد هذا الخيار، يحذف Kaspersky Endpoint Security الكائن الضار الموجود على الكمبيوتر. قبل حذف الكائن، يُنشئ Kaspersky Endpoint Security نسخة احتياطية في حالة الحاجة إلى استعادة الكائن لاحقًا. ينقل Kaspersky Endpoint Security النسخة الاحتياطية إلى العزل.
    • Run scan of critical areas. في حالة تحديد هذا الخيار، يُشغل Kaspersky Endpoint Security مهمة فحص المناطق الحرجة. بشكلٍ افتراضي، يفحص Kaspersky Endpoint Security ذاكرة kernel والعمليات قيد التشغيل وقطاعات تمهيد القرص.
12. انتقل إلى القسم Advanced.‏
13. حدد أنواع البيانات (مستندات IOC) التي يجب تحليلها كجزء من المهمة.

    يحدد Kaspersky Endpoint Security تلقائيًا أنواع البيانات (مستندات IOC) لمهمة فحص IOC وفقًا لمحتوى ملفات IOC الذي تم تحميله. ولا يوصى بإلغاء تحديد أنواع البيانات.

    يمكنك أيضًا تكوين نطاقات الفحص لأنواع البيانات التالية:

    • Files - FileItem.‏ قم بتعيين نطاق فحص IOC على الكمبيوتر باستخدام نطاقات محددة مسبقًا.

      بشكل افتراضي، يبحث Kaspersky Endpoint Security عن مهام IOC فقط في المناطق المهمة على الكمبيوتر، مثل مجلد التنزيلات وسطح المكتب والمجلد الذي يحتوي على ملفات نظام التشغيل المؤقتة، وما إلى ذلك. ويمكنك أيضًا إضافة نطاق الفحص يدويًا.

    • Windows event logs - EventLogItem. أدخل الفترة الزمنية التي تم تسجيل الأحداث فيها. يمكنك أيضًا تحديد سجلات أحداث Windows التي يجب استخدامها لفحص IOC. وبشكل افتراضي، يتم تحديد سجلات الأحداث التالية: سجل أحداث التطبيق وسجل أحداث النظام وسجل أحداث الأمان.

    لنوع البيانات Windows registry - RegistryItem يفحص Kaspersky Endpoint Security مجموعة من مفاتيح التسجيل.‏

14. من نافذة خصائص الكمبيوتر، حدد علامة التبويب الجدول.‏
15. تكوين جدول المهمة.

    لا يتوفر التشغيل عن بُعد عبر الشبكة المحلية لهذه المهمة. تأكد من تشغيل الكمبيوتر لتشغيل المهمة.

16. احفظ تغييراتك.
17. حدد خانة الاختيار المجاورة للمهمة.
18. انقر فوق الزر تشغيل.

نتيجة لذلك، يقوم Kaspersky Endpoint Security بتشغيل البحث عن مؤشرات الاختراق على الكمبيوتر. ويمكنك عرض نتائج المهمة في خصائص المهمة في القسم النتائج. ويمكنك عرض المعلومات حول المؤشرات المكتشفة للاختراق في خصائص المهمة: إعدادات التطبيق ← IOC Scan Results.‏

يتم الاحتفاظ بنتائج فحص IOC لمدة 30 يومًا. وبعد هذه الفترة، يحذف برنامج Kaspersky Endpoint Security تلقائيًا الإدخالات القديمة.

أعلى الصفحة