Verificar se há indicadores de comprometimento (tarefa autônoma)

Um Indicador de compromisso (IOC) é um conjunto de dados sobre um objeto ou atividade que indica acesso não autorizado ao computador (comprometimento de dados). Por exemplo, muitas tentativas malsucedidas de entrar no sistema podem constituir um indicador de compromisso. As tarefas de verificação de IOC permitem localizar indicadores de comprometimento no computador e tomar as medidas de resposta a ameaças.

O Kaspersky Endpoint Security procura indicadores de comprometimento usando arquivos IOC. Arquivos IOC são arquivos contendo os conjuntos de indicadores que o aplicativo tenta combinar para contar uma detecção. Os arquivos IOC devem estar em conformidade com o padrão OpenIOC. O Kaspersky Endpoint Security gera automaticamente os arquivos IOC para o Kaspersky Sandbox.

Modo de execução de tarefas Verificação de IOC

O aplicativo cria as tarefas autônomas de verificação de IOC para o Kaspersky Sandbox. Tarefa Verificação de IOC autônoma é uma tarefa de grupo criada automaticamente durante a reação contra uma ameaça detectada pelo Kaspersky Sandbox. O Kaspersky Endpoint Security gera automaticamente o arquivo IOC. Arquivos IOC personalizados não são compatíveis. As tarefas são excluídas automaticamente 30 dias após a hora de criação. Para obter mais detalhes sobre as tarefas de verificação de IOC autônomas, consulte a ajuda do Kaspersky Sandbox.

Configurações da tarefa Verificação de IOC

O Kaspersky Sandbox pode criar e executar as tarefas de verificação de IOC automaticamente no momento da reação a ameaças.

As configurações só podem ser definidas no Web Console.

É preciso ter o Kaspersky Security Center 13.2 para que tarefas de verificação de IOC autônomas do Kaspersky Sandbox funcionem.

Para alterar as configurações da tarefa Verificação de IOC:

  1. Na janela principal do Web Console, selecionar DispositivosTarefas.

    A lista de tarefas é aberta.

  2. Clique na tarefa Verificação de IOC do Kaspersky Endpoint Security.

    A janela de propriedades da tarefa é exibida.

  3. Selecione a guia Configurações do aplicativo.
  4. Ir para a seção Configurações da verificação de IOC.
  5. Configure ações ao detectar IOC:
    • Mover cópia para a Quarentena, excluir objeto. Caso a opção seja selecionada, o Kaspersky Endpoint Security exclui o objeto malicioso encontrado no computador. Antes de excluir o objeto, o Kaspersky Endpoint Security cria uma cópia de backup, caso o objeto precise ser restaurado posteriormente. O Kaspersky Endpoint Security move a cópia de backup para a quarentena.
    • Executar a verificação de áreas críticas. Se essa opção for selecionada, o Kaspersky Endpoint Security executa a tarefa Verificação de áreas críticas. Por padrão, o Kaspersky Endpoint Security verifica a memória kernel, os processos de execução e os setores de inicialização de disco.
  6. Configure o modo de execução de tarefas Verificação de IOC utilizando a caixa de seleção Executar apenas quando o computador estiver ocioso. Essa caixa de seleção ativa/desativa a função que suspende a tarefa Verificação de IOC quando os recursos do computador são limitados. O Kaspersky Endpoint Security pausa a tarefa Verificação de IOC quando a proteção de tela está desligada e o computador está desbloqueado.

    Essa opção de programação permite conservar os recursos do computador quando ele está sendo utilizado.

  7. Salvar alterações.

É possível visualizar os resultados da tarefa, nas propriedades da tarefa, na seção Resultados. É possível visualizar as informações sobre os indicadores de compromisso detectados nas propriedades da tarefa: Configurações do aplicativoResultados da verificação de IOC.

Os resultados da verificação de IOC são mantidos por 30 dias. Após esse período, o Kaspersky Endpoint Security exclui as entradas mais antigas automaticamente.

Início da página