Güvenlik ihlali göstergelerini (standart görev) tara

Güvenlik İhlali Göstergesi (IOC) bilgisayara yetkisiz erişimi (verilerin ele geçirilmesi) gösteren bir nesne veya etkinlik hakkında bir dizi veridir. Örneğin, sistemde oturum açmaya yönelik birçok başarısız girişim, bir Güvenlik İhlali Göstergesi oluşturabilir. IOC Taraması görevleri, bilgisayarda güvenlik ihlali göstergelerini bulmaya ve tehdit yanıtı önlemleri almaya olanak verir.

Kaspersky Endpoint Security, IOC dosyaları kullanarak güvenlik ihlali göstergelerini arar. IOC dosyaları, uygulamanın bir algılamayı saymak için eşleştirmeye çalıştığı gösterge gruplarını içeren dosyalardır. IOC dosyaları OpenIOC standardına uygun olmalıdır.

IOC Taraması görevi çalışma modu

Kaspersky Endpoint Detection and Response, risk altındaki verileri tespit etmek için standart IOC Scan görevleri oluşturmanıza izin verir. Standart IOC tarama görevi Web Console’da manuel olarak oluşturulan ve yapılandırılan bir grup veya yerel görevdir. Görevler, kullanıcı tarafından hazırlanan IOC dosyaları kullanılarak çalıştırılır. Manuel olarak bir güvenlik ihlali göstergesi eklemek istiyorsanız lütfen IOC dosyaları için gereklilikleri okuyun.

Aşağıdaki bağlantıya tıklayarak indirebileceğiniz dosyada, OpenIOC standardının IOC terimlerinin tam listesini içeren bir tablo bulunur.

IOC_TERMS.XLSX DOSYASINI İNDİRİN

Kaspersky Endpoint Security, uygulama Kaspersky Sandbox çözümünün bir parçası olarak kullanıldığında bağımsız IOC Taraması görevlerini de destekler.

Bir IOC Taraması görevi oluşturma

IOC Taraması görevlerini manuel olarak oluşturabilirsiniz:

• Uyarı ayrıntılarında (sadece EDR Optimum için).

  Algılama ayrıntıları, tespit edilen bir tehdit hakkında toplanan bilgilerin tamamını görüntülemek için sunulan bir araçtır. Algılama ayrıntılarına örnek olarak bilgisayarda görünen dosyaların geçmişi verilebilir. Algılama ayrıntılarının yönetimi hakkında daha fazla bilgi için Kaspersky Endpoint Detection and Response Optimum Yardım ve Kaspersky Endpoint Detection and Response Expert Yardım içeriklerine bakabilirsiniz.

• Görev Sihirbazını Kullanma.

EDR Optimum için Web Console ve Cloud Console'da görev yapılandırabilirsiniz. EDR Expert için görev ayarları sadece Cloud Console'da kullanılabilir.

Bir IOC Taraması görevi oluşturmak için:

1. Web Console'un ana penceresinde Aygıtlar → Görevler'i seçin.

   Görevler listesi açılır.

2. Ekle düğmesine tıklayın.

   Görev Sihirbazı başlatılır.

3. Görev ayarlarını yapılandırın:
   1. Uygulama açılır listesinden Kaspersky Endpoint Security for Windows (11.11.0) seçimini yapın.
   2. Görev türü açılır listesinde, IOC Taraması'nı seçin.
   3. Görev adı alanına kısa bir açıklama girin.
   4. Görevin atanacağı cihazları seçin bloğunda görev kapsamını seçin.
4. Seçilen görev kapsamı seçeneğine göre aygıtları belirleyin. Bir sonraki adıma geçin.
5. Bir görevi çalıştırmak için haklarını kullanmak istediğiniz kullanıcının hesap kimlik bilgilerini girin. Bir sonraki adıma geçin.

   Kaspersky Endpoint Security, görevi varsayılan olarak sistem kullanıcı hesabı (SYSTEM) olarak başlatır.

   Sistem hesabı (SYSTEM), ağ sürücülerinde IOC Taraması görevini gerçekleştirme iznine sahip değildir. Görevi bir ağ sürücüsü için çalıştırmak istiyorsanız, o sürücüye erişimi olan bir kullanıcının hesabını seçin.

   Ağ sürücülerindeki bağımsız IOC Taraması görevleri için görev özelliklerinden bu sürücüye erişimi olan kullanıcı hesabını manuel olarak seçmeniz gerekir.

6. Sihirbazdan çıkın.

   Görevler listesinde yeni bir görev görüntülenir.

7. Yeni göreve tıklayın.

   Görev özellikleri penceresi açılır.

8. Uygulama ayarları sekmesini seçin.
9. IOC taraması ayarları bölümüne gidin.
10. Güvenlik ihlali göstergelerini aramak için IOC dosyalarını yükleyin.

    IOC dosyalarını yükledikten sonra, IOC dosyalarından göstergelerin listesini görüntüleyebilirsiniz.

    Görevi çalıştırdıktan sonra IOC dosyalarının eklenmesi veya kaldırılması önerilmez. Bu, görevin önceki çalıştırmaları için IOC tarama sonuçlarının yanlış görüntülenmesine neden olabilir. Yeni IOC dosyalarına göre güvenlik ihlali göstergelerini aramak için yeni görevler eklemeniz önerilir.

11. IOC tespit edildiğinde uygulanacak eylem:
    • Bilgisayarı ağdan izole et. Bu seçenek tercih edildiğinde, Kaspersky Endpoint Security tehdidin yayılmasını önlemek için bilgisayarı ağdan izole eder. İzolasyonun süresini Endpoint Detection and Response bileşen ayarları bölümünde yapılandırabilirsiniz.
    • Kopyayı Karantinaya taşı, nesneyi sil. Bu seçenek tercihe dildiğinde, Kaspersky Endpoint Security bilgisayardaki kötü amaçlı nesneyi siler. Kaspersky Endpoint Security, nesneyi silmeden önce nesnenin daha sonra geri yüklenmesi gerekebileceği ihtimaline karşı bir yedek kopya oluşturur. Kaspersky Endpoint Security, yedek kopyayı Karantinaya taşır.
    • Kritik alanların taranmasını çalıştır. Bu seçenek tercih edildiğinde, Kaspersky Endpoint Security Kritik Alanları Tarama görevini çalıştırır. Varsayılan olarak, Kaspersky Endpoint Security, çekirdek belleğini, çalışan işlemleri ve disk önyükleme kesimlerini tarar.
12. Gelişmiş bölümüne gidin.
13. Görevin bir parçası olarak analiz edilmesi gereken veri türlerini (IOC belgeleri) seçin.

    Kaspersky Endpoint Security, IOC Scan görevindeki veri türlerini (IOC belgeleri), yüklenen IOC dosyalarının içeriğine göre otomatik olarak seçer. Veri türlerinin seçiminin kaldırılması önerilmez.

    Şu veri türleri için tarama kapsamlarını ayrıca yapılandırabilirsiniz:

    • Dosyalar - FileItem. Ön tanımlı kapsamlar kullanarak bir IOC tarama kapsamı ayarlayın.

      Varsayılan olarak, Kaspersky Endpoint Security, yalnızca İndirilenler klasörü, masaüstü, geçici işletim sistemi dosyalarını içeren klasör gibi bilgisayarın önemli alanlarında IOC'ler için tarama yapar. Tarama kapsamını manuel olarak da ekleyebilirsiniz.

    • Windows olay günlükleri - EventLogItem. Olayların günlüğe kaydedileceği zaman aralığını girin. Ayrıca IOC taraması için hangi Windows olay günlüklerinin kullanılması gerektiğini seçebilirsiniz. Varsayılan olarak şu olay günlükleri seçilir: uygulama olay günlüğü, sistem olay günlüğü ve güvenlik olay günlüğü.

    Windows kayıt defteri - RegistryItem veri türü için Kaspersky Endpoint Security bir kayıt defteri anahtarları grubunu tarar.

14. Bilgisayar özellikleri penceresinde Zamanlama sekmesini seçin.
15. Görev zamanlamasını yapılandırın.

    LAN'da Uyandırma bu görev için mevcut değildir. Bilgisayarın görevi çalıştırmak için açık olduğundan emin olun.

16. Değişikliklerinizi kaydedin.
17. Görevin yanındaki onay kutusunu seçin.
18. Çalıştır düğmesine tıklayın.

Sonuç olarak Kaspersky Endpoint Security, bilgisayardaki güvenlik ihlali göstergelerini arar. Görevin sonuçlarını Sonuçlar bölümündeki görev özelliklerinden izleyebilirsiniz. Algılanan güvenlik ihlali göstergeleri hakkındaki bilgileri görev özelliklerinde görüntüleyebilirsiniz: Uygulama ayarları → IOC Taraması Sonuçları.

IOC taraması sonuçları 30 gün boyunca saklanır. Bu süre sonrasında Kaspersky Endpoint Security en eski kayıtları otomatik olarak siler.

Sayfanın başına git