Scansione degli indicatori di compromissione (attività standalone)

Un indicatore di compromissione (IOC) è una serie di dati su un oggetto o un'attività che indica un accesso non autorizzato al computer (compromissione dei dati). Ad esempio, molti tentativi non riusciti di accesso al sistema possono costituire un indicatore di compromissione. Le attività di scansione IOC consentono di trovare indicatori di compromissione sul computer e di adottare misure di risposta alle minacce.

Kaspersky Endpoint Security ricerca gli indicatori di compromissione utilizzando i file IOC. I file IOC sono file che contengono le serie di indicatori che l'applicazione tenta di abbinare per eseguire un rilevamento. I file IOC devono essere conformi allo standard OpenIOC. Kaspersky Endpoint Security genera automaticamente i file IOC per Kaspersky Sandbox.

Modalità di esecuzione dell'attività di scansione IOC

L'applicazione crea attività di scansione IOC autonome per Kaspersky Sandbox. Attività di scansione IOC autonoma è un'attività di gruppo che viene creata automaticamente quando si reagisce a una minaccia rilevata da Kaspersky Sandbox. Kaspersky Endpoint Security genera automaticamente il file IOC. I file IOC personalizzati non sono supportati. Le attività vengono eliminate automaticamente 30 giorni dopo l'ora di creazione. Per altri dettagli sulle attività di scansione IOC autonome, consultare la Guida di Kaspersky Sandbox.

Impostazioni dell'attività Scansione IOC

Kaspersky Sandbox può creare ed eseguire automaticamente attività Scansione IOC quando reagisce alle minacce.

È possibile configurare le impostazioni solo in Web Console.

Affinché tutte le attività di scansione IOC standalone di Kaspersky Sandbox vengano eseguite correttamente, è necessario Kaspersky Security Center 13.2.

Per modificare le impostazioni dell'attività di scansione IOC:

  1. Nella finestra principale di Web Console, selezionare DispositiviAttività.

    Viene aperto l'elenco delle attività.

  2. Fare clic sull'attività Scansione IOC di Kaspersky Endpoint Security.

    Verrà visualizzata la finestra delle proprietà dell'attività.

  3. Selezionare la scheda Impostazioni applicazione.
  4. Passare alla sezione Impostazioni di scansione IOC.
  5. Configurare le azioni se viene rilevato un indicatore di compromissione:
    • Sposta la copia in Quarantena, elimina oggetto. Se questa opzione è selezionata, Kaspersky Endpoint Security elimina l'oggetto dannoso trovato nel computer. Prima di eliminare l'oggetto, Kaspersky Endpoint Security crea una copia di backup nel caso in cui sia necessario ripristinare l'oggetto in un secondo momento. Kaspersky Endpoint Security sposta la copia di backup in Quarantena.
    • Esegui scansione delle aree critiche. Se questa opzione è selezionata, Kaspersky Endpoint Security esegue l'attività Scansione delle aree critiche. Per impostazione predefinita, Kaspersky Endpoint Security esamina la memoria del kernel, i processi in esecuzione e i settori di avvio del disco.
  6. Configurare la modalità di esecuzione dell'attività Scansione IOC utilizzando la casella di controllo Esegui solo quando il computer è inattivo. Questa casella di controllo consente di abilitare o disabilitare la funzione che sospende l'attività Scansione IOC quando le risorse del computer sono limitate. Kaspersky Endpoint Security sospende l'attività Scansione IOC se lo screensaver è disattivato e il computer non è bloccato.

    Questa opzione di pianificazione consente di conservare le risorse del computer durante l'utilizzo del computer.

  7. Salvare le modifiche.

È possibile visualizzare i risultati dell'attività nelle proprietà dell'attività nelle sezione Risultati. È possibile visualizzare le informazioni sugli indicatori di compromissione rilevati nelle proprietà dell'attività: Impostazioni applicazioneRisultati scansione IOC.

I risultati della scansione IOC vengono conservati per 30 giorni. Al termine di questo periodo, Kaspersky Endpoint Security elimina automaticamente le voci meno recenti.

Inizio pagina