Scanare pentru descoperirea indicatorilor de compromitere (activitate independentă)

Un Indicator de compromitere (IOC) este un set de date despre un obiect sau o activitate care indică accesul neautorizat la computer (compromiterea datelor). De exemplu, multe încercări nereușite de conectare la sistem pot constitui un Indicator de compromitere. Activitățile Scanare IOC permit găsirea Indicatorilor de compromitere pe computer și luarea măsurilor de răspuns la amenințări.

Kaspersky Endpoint Security caută indicatorii de compromitere folosind fișiere IOC. Fișierele IOC sunt fișiere care conțin seturile de indicatori pe care aplicația încearcă să le potrivească pentru a contoriza o detectare. Fișierele IOC trebuie să fie conforme cu standardul OpenIOC. Kaspersky Endpoint Security generează automat fișiere IOC pentru Kaspersky Sandbox.

Modul de executare a activității de scanare IOC

Aplicația creează activități individuale de scanare IOC pentru Kaspersky Sandbox. Activitatea individuală de scanare IOC este o activitate de grup care este creată automat atunci când se reacționează la o amenințare detectată de Kaspersky Sandbox. Kaspersky Endpoint Security generează automat fișierul IOC. Fișierele IOC personalizate nu sunt acceptate. Sarcinile sunt șterse automat după 30 de zile de la momentul creării. Pentru mai multe detalii despre activitățile de scanare IOC autonome, consultați Ajutorul Kaspersky Sandbox.

Setările activității de scanare IOC

Kaspersky Sandbox poate crea și rula automat activități de Scanare IOC atunci când reacționează la amenințări.

Puteți configura setările numai în Web Console.

Aveți nevoie de Kaspersky Security Center 13.2 pentru ca activitățile individuale de scanare IOC ale Kaspersky Sandbox să funcționeze.

Pentru a modifica setările activității de scanare IOC:

  1. În fereastra principală a Web Console, selectați DevicesTasks.

    Lista activităților se deschide.

  2. Faceți clic pe activitatea IOC Scan a Kaspersky Endpoint Security.

    Se va deschide fereastra de proprietăți a activității.

  3. Selectați fila Application settings.
  4. Accesează secțiunea IOC scan settings.
  5. Configurați acțiunile la detectarea IOC:
    • Move copy to Quarantine, delete object. Dacă această opțiune este selectată, Kaspersky Endpoint Security șterge obiectul rău intenționat găsit pe computer. Înainte de a șterge obiectul, Kaspersky Endpoint Security creează o copie de rezervă în caz că obiectul trebuie restaurat ulterior. Kaspersky Endpoint Security mută copia de rezervă în Carantină.
    • Run scan of critical areas. Dacă această opțiune este selectată, Kaspersky Endpoint Security execută activitatea Scanare zone critice. În mod implicit, Kaspersky Endpoint Security scanează memoria kernel, procesele care se execută și sectoarele de boot ale discurilor.
  6. Configurați modul de executare a activității Scanare IOC utilizând caseta de selectare Run only when the computer is idle. Această casetă de selectare activează/dezactivează funcția care suspendă activitatea Scanare IOC când resursele computerului sunt limitate. Kaspersky Endpoint Security pune în pauză activitatea Scanare IOC dacă economizorul de ecran este oprit și computerul este deblocat.

    Această opțiune de planificare vă permite să conservați resursele computerului atunci când acesta este utilizat.

  7. Salvați-vă modificările.

Puteți vizualiza rezultatele căutării în proprietățile activităților din secțiunea Results. Puteți vizualiza informațiile despre indicatorii de compromitere detectați în proprietățile activității: Application settingsIOC Scan Results.

Rezultatele scanării IOC sunt păstrate timp de 30 de zile. După această perioadă, Kaspersky Endpoint Security șterge automat intrările cele mai vechi.

Începutul paginii