Skanowanie pod kątem wskaźników naruszeń bezpieczeństwa (zadanie autonomiczne)

Wskaźnik naruszeń bezpieczeństwa (IOC) to zestaw danych dotyczących obiektu lub aktywności, która wskazuje nieautoryzowany dostęp do komputera (naruszenie bezpieczeństwa danych). Na przykład, wiele niepomyślnych prób zalogowania do systemu może stanowić wskaźnik naruszeń bezpieczeństwa. Zadania Skanowanie IOC umożliwiają odszukanie wskaźników naruszeń bezpieczeństwa na komputerze i podejmują środki reakcji na zagrożenia.

Kaspersky Endpoint Security wyszukuje wskaźniki zagrożenia za pomocą plików IOC. Pliki IOC to pliki zawierające zestawy wskaźników, które aplikacja próbuje dopasować do licznika wykrywania. Pliki IOC muszą pasować do standardu OpenIOC. Kaspersky Endpoint Security automatycznie generuje pliki IOC dla Kaspersky Sandbox.

Tryb uruchamiania zadania Skanowanie IOC

Aplikacja tworzy autonomiczne zadania skanowania IOC dla Kaspersky Sandbox. Autonomiczne zadanie skanowania IOC to zadanie grupowe, które jest tworzone automatycznie podczas reagowania na zagrożenie wykryte przez Kaspersky Sandbox. Kaspersky Endpoint Security automatycznie generuje plik IOC. Niestandardowe pliki IOC nie są obsługiwane. Zadania są automatycznie usuwane 30 dni po czasie utworzenia. Więcej informacji o autonomicznych zadaniach skanowania IOC możesz znaleźć w pomocy dla Kaspersky Sandbox.

Ustawienia zadania Skanowanie IOC

Kaspersky Sandbox może tworzyć i uruchamiać zadania Skanowanie IOC automatycznie po reakcji na zagrożenia.

Możesz skonfigurować ustawienia tylko w Web Console.

Potrzebujesz Kaspersky Security Center 13.2 do działania autonomicznych zadań skanowania IOC dla Kaspersky Sandbox.

W celu zmiany ustawień zadania Skanowanie IOC:

  1. W oknie głównym Web Console wybierz UrządzeniaZadania.

    Zostanie otwarta lista zadań.

  2. Wybierz zadanie Skanowanie IOC programu Kaspersky Endpoint Security.

    Zostanie otwarte okno właściwości zadania.

  3. Wybierz zakładkę Ustawienia aplikacji.
  4. Przejdź do sekcji Ustawienia skanowania IOC.
  5. Skonfiguruj akcje po wykryciu IOC:
    • Przenieś kopię do Kwarantanny, usuń obiekt. Jeśli ta opcja została zaznaczona, Kaspersky Endpoint Security usunie szkodliwy obiekt wykryty na komputerze. Przed usunięciem obiektu Kaspersky Endpoint Security utworzy kopię zapasową w przypadku, gdy obiekt musi zostać przywrócony w późniejszym czasie. Kaspersky Endpoint Security przeniesie kopię zapasową do Kwarantanny.
    • Uruchom skanowanie obszarów krytycznych. Jeśli ta opcja jest zaznaczona, Kaspersky Endpoint Security uruchamia zadanie Skanowanie obszarów krytycznych. Domyślnie, Kaspersky Endpoint Security skanuje pamięć jądra, uruchomione procesy i sektory startowe dysku.
  6. Skonfiguruj tryb uruchamiania zadania Skanowanie IOC za pomocą pola Uruchamiaj tylko, jeśli komputer jest w stanie bezczynności. To pole włącza/wyłącza funkcję wstrzymywania zadania Skanowanie IOC, gdy zasoby komputera są ograniczone. Kaspersky Endpoint Security wstrzymuje zadanie Skanowanie IOC, gdy wygaszacz ekranu jest wyłączony, a komputer jest odblokowany.

    Ta opcja terminarza umożliwia zaoszczędzenie zasobów komputera w trakcie korzystania z komputera.

  7. Zapisz swoje zmiany.

Możesz przejrzeć wyniki zadania we właściwościach zadania, w sekcji Wyniki. Informacje o wykrytych wskaźnikach naruszeń bezpieczeństwa możesz przejrzeć we właściwościach zadania: Ustawienia aplikacjiWyniki skanowania IOC.

Wyniki skanowania IOC są przechowywane 30 dni. Po tym czasie Kaspersky Endpoint Security automatycznie usuwa najstarsze wpisy.

Przejdź do góry