Verificar os indicadores de compromisso (tarefa padrão)

Um Indicador de comprometimento (IOC) é um conjunto de dados relativos a um objeto ou atividade que indica acesso não autorizado ao computador (comprometimento de dados). Por exemplo, muitas tentativas falhadas de iniciar sessão no sistema podem constituir um Indicador de Comprometimento. A tarefa Verificação IOC permite localizar indicadores de comprometimento no computador e adotar medidas de resposta a ameaças.

O Kaspersky Endpoint Security procura indicadores de comprometimento utilizando IOC files. Os IOC files são ficheiros que contêm os conjuntos de indicadores que a aplicação tenta corresponder para contar uma deteção. Os IOC files devem estar em conformidade com o padrão OpenIOC.

Modo de execução da tarefa de Verificação IOC

O Kaspersky Endpoint Detection and Response permite-lhe criar tarefas de Verificação IOC padrão para detetar dados comprometidos. A tarefa verificação IOC padrão é uma tarefa local ou de grupo que é criada e configurada manualmente na Consola Web. As tarefas são executadas utilizando IOC files preparados pelo utilizador. Se quiser adicionar manualmente um indicador de compromisso, leia os requisitos para os ficheiros do IOC.

O ficheiro que transfere através da ligação abaixo contém uma tabela com a lista completa dos termos IOC do padrão OpenIOC.

TRANSFERIR O FICHEIRO IOC_TERMS.XLSX

O Kaspersky Endpoint Security também suporta tarefas de verificação IOC independentes quando a aplicação é utilizada como parte da solução do Kaspersky Sandbox.

Criar uma tarefa de Verificação IOC

Pode criar tarefas Verificação IOC manualmente:

• Nos detalhes do alerta (apenas para EDR Optimum).

  As informações da deteção é uma ferramenta para visualizar todas as informações recolhidas sobre uma ameaça detetada. As informações da deteção incluem, por exemplo, o histórico dos ficheiros que aparecem no computador. Para conhecer os detalhes sobre a gestão de deteção, consulte a Ajuda do Kaspersky Endpoint Detection and Response Optimum e a Ajuda do Kaspersky Endpoint Detection and Response Expert.

• Utilizando o Assistente de Tarefas.

Pode configurar a tarefa para o EDR Optimum na Consola Web e na Cloud Console. As definições da tarefa para o EDR Expert estão disponíveis apenas na Cloud Console.

Para criar uma tarefa Verificação IOC:

1. Na janela principal da Consola de Web, selecione Devices → Tasks.

   A lista de tarefas é aberta.

2. Selecione o botão Add.

   O Assistente de Tarefas é iniciado.

3. Configurar as definições de tarefa:
   1. Na lista pendente Application, selecione Kaspersky Endpoint Security for Windows (11.11.0).
   2. Na lista pendente Task type, selecione Verificação IOC.
   3. No campo Task name, introduza uma breve descrição.
   4. No bloco Select devices to which the task will be assigned, selecione o âmbito de tarefa.
4. Selecione os dispositivos de acordo com a opção do âmbito da tarefa selecionada. Avance para o passo seguinte.
5. Introduza as credenciais da conta do utilizador cujos direitos deseja usar para executar a tarefa. Avance para o passo seguinte.

   Por predefinição, o Kaspersky Endpoint Security inicia a tarefa com a conta de utilizador do sistema (SYSTEM).

   A conta de sistema (SYSTEM) não tem a permissão para executar uma tarefa Verificação IOC em unidades de rede. Se deseja executar a tarefa para uma unidade de rede, selecione a conta de utilizador que tem acesso a tal unidade.

   Para tarefas de verificação IOC autónomas em unidades de rede, tem de selecionar manualmente a conta de utilizador que tem acesso a esta unidade nas propriedades da tarefa.

6. Sair do Assistente.

   Será apresentada uma nova tarefa na lista de tarefas.

7. Clique em nova tarefa.

   É apresentada a janela de propriedades da tarefa.

8. Selecione o separador Application settings.
9. Aceda à secção IOC scan settings.
10. Carregue os IOC files para procurar indicadores de comprometimento.

    Depois de carregar os ficheiros de IOC, é possível visualizar a lista de indicadores dos IOC files.

    Adicionar ou remover ficheiros IOC após a execução da tarefa não é recomendado. Isto pode originar uma apresentação incorreta dos resultados da verificação IOC relativos a execuções anteriores da tarefa. Para pesquisar indicadores de compromisso por novos ficheiros IOC, recomenda-se a adição de novas tarefas.

11. Configure ações na deteção de IOC:
    • Isolate computer from the network. Se esta opção for selecionada, o Kaspersky Endpoint Security isola o computador da rede para evitar que a ameaça se espalhe. Pode configurar a duração do isolamento em Definições do componente Endpoint Detection and Response.
    • Move copy to Quarantine, delete object. Se esta opção for selecionada, o Kaspersky Endpoint Security elimina o objeto malicioso encontrado no computador. Antes de eliminar o objeto, o Kaspersky Endpoint Security cria uma cópia de segurança, caso o objeto precise de ser posteriormente restaurado. O Kaspersky Endpoint Security move a cópia de segurança para a Quarentena.
    • Run scan of critical areas. Se esta opção for selecionada, o Kaspersky Endpoint Security executa a tarefa Verificação de Áreas Críticas. Por predefinição, o Kaspersky Endpoint Security verifica a memória Kernel, os processos em execução e os setores de inicialização do disco.
12. Aceda à secção Advanced.
13. Selecione os tipos de dados (documentos IOC) que devem ser analisados como parte da tarefa.

    O Kaspersky Endpoint Security seleciona automaticamente os tipos de dados (documentos IOC) para a tarefa Verificação IOC em conformidade com o conteúdo dos IOC files carregados. Não é recomendado remover a seleção de tipos de dados.

    Adicionalmente, pode configurar âmbitos de verificação para os seguintes tipos de dados:

    • Files - FileItem. Defina o âmbito de verificação IOC no computador utilizando âmbitos predefinidos.

      Por predefinição, o Kaspersky Endpoint Security verifica IOC apenas em áreas importantes do computador, tais como a pasta de transferências, o ambiente de trabalho, a pasta com ficheiros temporários do sistema operativo, etc. Pode também adicionar manualmente o âmbito de verificação.

    • Windows event logs - EventLogItem. Introduza o período de tempo no qual os eventos foram registados. Também pode selecionar os registos de eventos do Windows que devem ser utilizados para a verificação IOC. Por defeito, são selecionados os seguintes registos de eventos: registo de eventos da aplicação, registo de eventos do sistema e registo de eventos de segurança.

    Para o tipo de dados Windows registry - RegistryItem, o Kaspersky Endpoint Security verifica um conjunto de chaves de registo.

14. Na janela de propriedades da tarefa, selecione o separador Schedule.
15. Configure o agendamento da tarefa.

    Wake-on-LAN não está disponível para esta tarefa. Certifique-se de que o computador está ligado para executar a tarefa.

16. Guarde as suas alterações.
17. Selecione a caixa de verificação junto à tarefa.
18. Selecione o botão Run.

Deste modo, o Kaspersky Endpoint Security procura indicadores de comprometimento do computador. Pode visualizar os resultados da tarefa nas propriedades da tarefa na secção Results. Pode consultar a informação sobre os indicadores de comprometimento detetados nas propriedades da tarefa: Application settings → IOC Scan Results.

Os resultados da verificação IOC são mantidos durante 30 dias. Após este período, o Kaspersky Endpoint Security elimina automaticamente as entradas mais antigas.

Topo da página