Scannen op indicatoren van compromis (stand-alone taak)

Een Indicator of Compromise (IOC) is een set gegevens over een object of activiteit die wijst op onbevoegde toegang tot de computer (compromittering van gegevens). Vele mislukte aanmeldingen bij het systeem kunnen bijvoorbeeld een Indicator of Compromise zijn. Met de IOC-scantaken kunnen Indicators of Compromise op de computer worden gevonden en maatregelen als respons op deze dreiging worden genomen.

Kaspersky Endpoint Security zoekt Indicators of Compromise met behulp van IOC-bestanden. IOC-bestanden zijn bestanden die de verzameling indicatoren bevatten aan de hand waarvan het programma op zoek gaat naar hits die kunnen duiden op een dreiging. IOC-bestanden moet voldoen aan de OpenIOC-norm. Kaspersky Endpoint Security genereert automatisch IOC-bestanden voor Kaspersky Sandbox.

Uitvoermodus van IOC-scantaak

Het programma maakt zelfstandige IOC-scantaken voor Kaspersky Sandbox. De zelfstandige IOC-scantaak is een groepstaak die automatisch is gemaakt als respons op een dreiging die door Kaspersky Sandbox is gedetecteerd. Kaspersky Endpoint Security genereert automatisch het IOC-bestand. Aangepaste IOC-bestanden worden niet ondersteund. Taken worden 30 dagen na de aanmaaktijd automatisch verwijderd. Voor meer informatie over zelfstandige IOC-scantaken raadpleegt u de Help van Kaspersky Sandbox.

Instellingen IOC-scantaak

Kaspersky Sandbox kan automatisch IOC-scantaken maken en uitvoeren bij het reageren op bedreigingen.

U kunt de instellingen alleen configureren in de webconsole.

U hebt Kaspersky Security Center 13.2 voor zelfstandige IOC-scantaken nodig opdat alle functies van Kaspersky Sandbox zouden werken.

De instellingen van de IOC-scantaak wijzigen:

  1. Selecteer in het hoofdvenster van de webconsole achtereenvolgens DevicesTasks.

    De lijst met taken wordt geopend.

  2. Selecteer de taak IOC-scan van Kaspersky Endpoint Security.

    U ziet nu het venster met de taakeigenschappen.

  3. Selecteer het tabblad Application settings.
  4. Ga naar het gedeelte IOC scan settings.
  5. Configureer acties bij de detectie van IOC's:
    • Move copy to Quarantine, delete object. Als deze optie is geselecteerd, verwijdert Kaspersky Endpoint Security het schadelijke object dat op de computer is gevonden. Voordat het object wordt verwijderd, maakt Kaspersky Endpoint Security een back-up voor het geval dat het object later moet worden teruggezet. Kaspersky Endpoint Security plaatst de back-up in Quarantaine.
    • Run scan of critical areas. Als deze optie is geselecteerd, start Kaspersky Endpoint Security de taak Kritieke Gebiedenscan. Standaard scant Kaspersky Endpoint Security het kernelgeheugen, actieve processen en de opstartsectoren van de schijf.
  6. Configureer de uitvoermodus van de IOC-scantaak met behulp van het selectievakje Run only when the computer is idle. Dit selectievakje schakelt de functie in of uit waarmee u de IOC-scantaak uitstelt als de computerbronnen beperkt zijn. Kaspersky Endpoint Security pauzeert de IOC-scantaak als de schermbeveiliging uitgeschakeld is en de computer ontgrendeld is.

    Met deze planningsoptie kunt u computervermogen besparen wanneer de computer wordt gebruikt.

  7. Sla uw wijzigingen op.

U kunt de resultaten van de taak bekijken in de taakeigenschappen in het gedeelte Results. U kunt informatie over gedetecteerde Indicators of Compromise bekijken in de taakeigenschappen: Application settingsIOC Scan Results.

De resultaten van een IOC-scan worden 30 dagen bewaard. Na die tijd worden de oudste gegevens automatisch verwijderd door Kaspersky Endpoint Security.

Naar boven