Biztonsági sérülési indikátorok vizsgálata (szabványos feladat)

A biztonsági sérülési indikátor (IOC) egy olyan objektumra vagy tevékenységre vonatkozó adathalmaz, amely jogosulatlan hozzáférést jelez a számítógéphez (adatok veszélyeztetése). Például sok sikertelen bejelentkezési kísérlet a rendszerbe biztonsági sérülésre utalhat. Az IOC vizsgálat feladatok lehetővé teszik a biztonsági sérülési indikátorok (IOC) megtalálását a számítógépen, valamint biztosítják a fenyegetésre reagáló intézkedések megtételét.

A Kaspersky Endpoint Security IOC-fájlok segítségével keresi a biztonsági sérülés indikátorait. Az IOC-fájlok olyan fájlok, amelyek az indikátorkészleteket tartalmazzák, és amelyekkel az alkalmazás egyezést próbál találni észlelés esetén. Az IOC-fájloknak meg kell felelniük az OpenIOC szabványnak.

Az IOC vizsgálat feladat futtatási módja

A Kaspersky Endpoint Detection and Response lehetővé teszi a standard IOC vizsgálati feladatok létrehozását a feltört adatok észleléséhez. A Szabványos IOC vizsgálati feladat egy olyan csoportos vagy helyi feladat, amelyet manuálisan hoznak létre és konfigurálnak a Web Console-ban. A feladatok a felhasználó által előkészített IOC-fájlok használatával futnak. Ha manuálisan szeretne hozzáadni egy biztonsági sérülési indikátort, olvassa el az IOC-fájlokra vonatkozó követelményeket.

Az alábbi hivatkozásra kattintva letölthető fájl egy táblázatot tartalmaz az OpenIOC szabvány IOC-feltételeinek teljes listájával.

TÖLTSE LE AZ IOC_TERMS.XLSX FÁJLT

A Kaspersky Endpoint Security támogatja az önálló IOC vizsgálati feladatokat is, ha az alkalmazást a Kaspersky Sandbox megoldás részeként használják.

IOC vizsgálati feladat létrehozása

Az IOC vizsgálat feladatokat manuálisan hozhatja létre:

• A riasztás részleteiben (csak az EDR Optimum esetében).

  Az Észlelés részletei egy eszköz az észlelt fenyegetéssel kapcsolatos összesített információk megtekintésére. Az észlelési részletek közé tartoznak például a számítógépen megjelenő fájlok előzményei. Az észlelések kezelésével kapcsolatos részleteket a Kaspersky Endpoint Detection and Response Optimum súgóban és a Kaspersky Endpoint Detection and Response Expert súgóban találja.

• A Feladat varázsló használata.

Az EDR Optimum feladatát a Web Console-on és a Cloud Console-on konfigurálhatja. Az EDR Expert feladatbeállításai csak a Cloud Console-ban érhetők el.

IOC vizsgálati feladatok létrehozása:

1. A Web Console fő ablakában válassza a Devices → Tasks lehetőséget.

   Megnyílik a feladatok listája.

2. Kattintson az Add gombra.

   Elindul a Feladatvarázsló.

3. Adja meg a feladatok beállításait:
   1. A Application legördülő listából válassza ki az Kaspersky Endpoint Security for Windows (11.11.0) lehetőséget.
   2. A Task type legördülő listából válassza ki az IOC vizsgálat lehetőséget.
   3. A Task name mezőben adjon meg egy rövid leírást.
   4. A Select devices to which the task will be assigned blokkban válassza ki a feladathatókört.
4. Válassza ki az eszközöket a kiválasztott feladat hatókör lehetőséghez. Lépjen a következő lépésre.
5. Adja meg azon felhasználó fiókjának hitelesítő adatait, akinek jogait használni kívánja a feladat futtatásához. Lépjen a következő lépésre.

   Alapértelmezés szerint a Kaspersky Endpoint Security rendszerfelhasználóként (SYSTEM) indítja el a feladatot.

   A rendszerfiók (SYSTEM) nem rendelkezik jogosultsággal az IOC Scan feladat végrehajtásához a hálózati meghajtókon. Ha a feladatot hálózati meghajtón szeretné futtatni, válassza ki annak a felhasználónak a fiókját, aki hozzáfér a meghajtóhoz.

   A hálózati meghajtókon végzendő önálló IOC vizsgálati feladatok esetében a feladat tulajdonságaiban manuálisan kell kiválasztania azt a felhasználói fiókot, amely hozzáféréssel rendelkezik a meghajtóhoz.

6. Lépjen ki a varázslóból.

   Egy új feladat jelenik meg a feladatok listájában.

7. Kattintson az új feladatra.

   Megnyílik a feladatok tulajdonságai ablak.

8. Válassza ki az Application settings lapot.
9. Menjen az IOC scan settings részre.
10. Töltse be az IOC-fájlokat biztonsági sérülésre utaló indikátorok kereséséhez.

    Az IOC-fájlok betöltése után megtekintheti a IOC-fájlok indikátorainak listáját.

    Az IOC-fájlok hozzáadása vagy eltávolítása a feladat futtatása után nem javasolt. Ez azt okozhatja, hogy az IOC vizsgálat eredményei helytelenül jelennek meg a feladat korábbi futtatásakor. Az új IOC-fájlok biztonsági sérülési indikátorainak kereséséhez ajánlott új feladatokat hozzáadni.

11. Az IOC-észlelésre vonatkozó műveletek konfigurálása:
    • Isolate computer from the network. Ha ezt az opciót választja, a Kaspersky Endpoint Security elkülöníti a számítógépet a hálózattól, hogy megakadályozza a fenyegetés terjedését. Beállíthatja az elkülönítés időtartamát az Endpoint Detection and Response összetevő beállításaiban.
    • Move copy to Quarantine, delete object. Ha ezt az opciót választja, a Kaspersky Endpoint Security törli a számítógépen talált rosszindulatú objektumot. Az objektum törlése előtt a Kaspersky Endpoint Security biztonsági másolatot készít arra az esetre, ha az objektumot később vissza kell állítani. A Kaspersky Endpoint Security a biztonsági másolatot karanténba helyezi.
    • Run scan of critical areas. Ha ezt az opciót választja, a Kaspersky Endpoint Security futtatja a Kritikus területek vizsgálata feladatot. A Kaspersky Endpoint Security alapértelmezés szerint a rendszermag memóriáját, a futó folyamatokat és a lemez rendszerindító szektorait vizsgálja.
12. Nyissa meg a Advanced szakaszt.
13. Válassza ki az adattípusokat (IOC-dokumentumok), amelyeket a feladat részeként elemezni kell.

    A Kaspersky Endpoint Security automatikusan kiválasztja az adattípusokat (IOC-dokumentumokat) az IOC vizsgálat feladathoz a betöltött IOC-fájlok tartalmának megfelelően. Nem ajánlott megszüntetni az adattípusok kijelölését.

    Ezenkívül konfigurálhatja a vizsgálati hatóköröket a következő adattípusokhoz:

    • Files - FileItem. Beállítja az IOC vizsgálat hatókörét a számítógépen az előre beállított hatókörök használatával.

      Alapértelmezés szerint a Kaspersky Endpoint Security csak a számítógép fontos területein keresi a biztonsági sérülési indikátorokat, például a Letöltések mappában, az asztalon, az operációs rendszer ideiglenes fájljait tartalmazó mappában stb. Manuálisan is hozzáadhatja a vizsgálati hatóköröket.

    • Windows event logs - EventLogItem. Adja meg azt az időszakot, amikor az események naplózva lettek. Azt is kiválaszthatja, hogy mely Windows eseménynaplókat kell használni az IOC vizsgálathoz. Alapértelmezés szerint a következő eseménynaplók vannak kiválasztva: alkalmazási eseménynapló, rendszer-eseménynapló és biztonsági eseménynapló.

    A Windows registry - RegistryItem adattípus esetén a Kaspersky Endpoint Security átvizsgálja a beállításkulcsok készletét.

14. Válassza ki a számítógép tulajdonságainak ablakában az Schedule lapot.
15. Állítsa be a feladat ütemezését.

    A hálózati ébresztés nem érhető el ennél a feladatnál. Győződjön meg arról, hogy a számítógép be van kapcsolva a feladat futtatásához.

16. Mentse el a módosításokat.
17. Válassza ki a feladat melletti jelölőnégyzetet.
18. Kattintson az Run gombra.

Ennek eredményeként a Kaspersky Endpoint Security futtatja a biztonsági sérülési indikátorok keresését a számítógépen. A feladat eredményeit a feladat tulajdonságaiban tekintheti meg az Results szakaszban. Az észlelt biztonsági sérülési indikátorokra vonatkozó információkat a feladat tulajdonságaiban tekintheti meg: Application settings → IOC Scan Results.

Az IOC vizsgálat eredményeinek megőrzése 30 napig történik. Ezt követően a Kaspersky Endpoint Security automatikusan törli a legrégebbi bejegyzéseket.

Oldal tetejére