Biztonsági sérülési indikátorok vizsgálata (szabványos feladat)
A biztonsági sérülési indikátor (IOC) egy olyan objektumra vagy tevékenységre vonatkozó adathalmaz, amely jogosulatlan hozzáférést jelez a számítógéphez (adatok veszélyeztetése). Például sok sikertelen bejelentkezési kísérlet a rendszerbe biztonsági sérülésre utalhat. Az IOC vizsgálat feladat lehetővé teszi a biztonsági sérülési indikátorok (IOC) megtalálását a számítógépen, valamint biztosítja a fenyegetésre reagáló intézkedések megtételét.
A Kaspersky Endpoint Security IOC-fájlok segítségével keresi a biztonsági sérülés indikátorait. Az IOC-fájlok olyan fájlok, amelyek az indikátorkészleteket tartalmazzák, és amelyekkel az alkalmazás egyezést próbál találni észlelés esetén. Az IOC-fájloknak meg kell felelniük az OpenIOC szabványnak.
Az IOC vizsgálat feladat futtatási módja
A Kaspersky Endpoint Detection and Response lehetővé teszi a standard IOC vizsgálati feladatok létrehozását a feltört adatok észleléséhez. A Szabványos IOC vizsgálati feladat egy olyan csoportos vagy helyi feladat, amelyet manuálisan hoznak létre és konfigurálnak a Web Console-ban. A feladatok a felhasználó által előkészített IOC-fájlok használatával futnak. Ha manuálisan szeretne hozzáadni egy biztonsági sérülési indikátort, olvassa el az IOC-fájlokra vonatkozó követelményeket.
Az alábbi hivatkozásra kattintva letölthető fájl egy táblázatot tartalmaz az OpenIOC szabvány IOC-feltételeinek teljes listájával.
TÖLTSE LE AZ IOC_TERMS.XLSX FÁJLT
A Kaspersky Endpoint Security támogatja az önálló IOC vizsgálati feladatokat is, ha az alkalmazást a Kaspersky Sandbox megoldás részeként használják.
IOC vizsgálati feladat létrehozása
Az IOC vizsgálat feladatokat manuálisan hozhatja létre:
- A riasztás részleteiben (csak az EDR Optimum esetében).
Az Észlelés részletei egy eszköz az észlelt fenyegetéssel kapcsolatos összesített információk megtekintésére. Az észlelési részletek közé tartoznak például a számítógépen megjelenő fájlok előzményei. Az észlelések kezelésével kapcsolatos részleteket a Kaspersky Endpoint Detection and Response Optimum súgóban és a Kaspersky Endpoint Detection and Response Expert súgóban találja.
- A Feladat varázsló használata.
Az EDR Optimum feladatát a Web Console-on és a Cloud Console-on konfigurálhatja. Az EDR Expert feladatbeállításai csak a Cloud Console-ban érhetők el.
IOC vizsgálati feladat létrehozása:
- A Web Console fő ablakában válassza a Devices → Tasks lehetőséget.
Megnyílik a feladatok listája.
- Kattintson az Add gombra.
Elindul a Feladatvarázsló.
- Adja meg a feladatok beállításait:
- A Application legördülő listából válassza ki az Kaspersky Endpoint Security for Windows (12.4) lehetőséget.
- A Task type legördülő listából válassza ki az IOC vizsgálat lehetőséget.
- A Task name mezőben adjon meg egy rövid leírást.
- A Select devices to which the task will be assigned blokkban válassza ki a feladathatókört.
- Válassza ki az eszközöket a kiválasztott feladat hatókör lehetőséghez. Lépjen a következő lépésre.
- Adja meg azon felhasználó fiókjának hitelesítő adatait, akinek jogait használni kívánja a feladat futtatásához. Lépjen a következő lépésre.
Alapértelmezés szerint a Kaspersky Endpoint Security rendszerfelhasználóként (SYSTEM) indítja el a feladatot.
A rendszerfiók (SYSTEM) nem rendelkezik jogosultsággal az IOC Scan feladat végrehajtásához a hálózati meghajtókon. Ha a feladatot hálózati meghajtón szeretné futtatni, válassza ki annak a felhasználónak a fiókját, aki hozzáfér a meghajtóhoz.
A hálózati meghajtókon végzendő önálló IOC vizsgálati feladatok esetében a feladat tulajdonságaiban manuálisan kell kiválasztania azt a felhasználói fiókot, amely hozzáféréssel rendelkezik a meghajtóhoz.
- Lépjen ki a varázslóból.
Egy új feladat jelenik meg a feladatok listájában.
- Kattintson az új feladatra.
Megnyílik a feladatok tulajdonságai ablak.
- Válassza ki az Application settings lapot.
- Menjen az IOC scan settings részre.
- Töltse be az IOC-fájlokat biztonsági sérülésre utaló indikátorok kereséséhez.
Az IOC-fájlok betöltése után megtekintheti a IOC-fájlok indikátorainak listáját.
Az IOC-fájlok hozzáadása vagy eltávolítása a feladat futtatása után nem javasolt. Ez azt okozhatja, hogy az IOC vizsgálat eredményei helytelenül jelennek meg a feladat korábbi futtatásakor. Az új IOC-fájlok biztonsági sérülési indikátorainak kereséséhez ajánlott új feladatokat hozzáadni.
- Az IOC-észlelésre vonatkozó műveletek konfigurálása:
- Isolate computer from the network. Ha ezt az opciót választja, a Kaspersky Endpoint Security elkülöníti a számítógépet a hálózattól, hogy megakadályozza a fenyegetés terjedését. Beállíthatja az elkülönítés időtartamát az Endpoint Detection and Response összetevő beállításaiban.
- Másolat áthelyezése a karanténba, objektum törlése. Ha ezt az opciót választja, a Kaspersky Endpoint Security törli a számítógépen talált rosszindulatú objektumot. Az objektum törlése előtt a Kaspersky Endpoint Security biztonsági másolatot készít arra az esetre, ha az objektumot később vissza kell állítani. A Kaspersky Endpoint Security a biztonsági másolatot karanténba helyezi.
- Kritikus területek vizsgálatának futtatása. Ha ezt az opciót választja, a Kaspersky Endpoint Security futtatja a Kritikus területek vizsgálata feladatot. A Kaspersky Endpoint Security alapértelmezés szerint a rendszermag memóriáját, a futó folyamatokat és a lemez rendszerindító szektorait vizsgálja.
- Nyissa meg a Speciális szakaszt.
- Válassza ki az adattípusokat (IOC-dokumentumok), amelyeket a feladat részeként elemezni kell.
A Kaspersky Endpoint Security automatikusan kiválasztja az adattípusokat (IOC-dokumentumokat) az IOC vizsgálat feladathoz a betöltött IOC-fájlok tartalmának megfelelően. Nem ajánlott megszüntetni az adattípusok kijelölését.
Ezenkívül konfigurálhatja a vizsgálati hatóköröket a következő adattípusokhoz:
- Files - FileItem. Beállítja az IOC vizsgálat hatókörét a számítógépen az előre beállított hatókörök használatával.
Alapértelmezés szerint a Kaspersky Endpoint Security csak a számítógép fontos területein keresi a biztonsági sérülési indikátorokat, például a Letöltések mappában, az asztalon, az operációs rendszer ideiglenes fájljait tartalmazó mappában stb. Manuálisan is hozzáadhatja a vizsgálati hatóköröket.
- Windows event logs - EventLogItem. Adja meg azt az időszakot, amikor az események naplózva lettek. Azt is kiválaszthatja, hogy mely Windows eseménynaplókat kell használni az IOC vizsgálathoz. Alapértelmezés szerint a következő eseménynaplók vannak kiválasztva: alkalmazási eseménynapló, rendszer-eseménynapló és biztonsági eseménynapló.
A Windows registry - RegistryItem adattípus esetén a Kaspersky Endpoint Security átvizsgálja a beállításkulcsok készletét.
- Files - FileItem. Beállítja az IOC vizsgálat hatókörét a számítógépen az előre beállított hatókörök használatával.
- Válassza ki a számítógép tulajdonságainak ablakában az Schedule lapot.
- Állítsa be a feladat ütemezését.
A hálózati ébresztés nem érhető el ennél a feladatnál. Győződjön meg arról, hogy a számítógép be van kapcsolva a feladat futtatásához.
- Mentse el a módosításokat.
- Válassza ki a feladat melletti jelölőnégyzetet.
- Kattintson az Run gombra.
Ennek eredményeként a Kaspersky Endpoint Security futtatja a biztonsági sérülési indikátorok keresését a számítógépen. A feladat eredményeit a feladat tulajdonságaiban tekintheti meg az Results szakaszban. Az észlelt biztonsági sérülési indikátorokra vonatkozó információkat a feladat tulajdonságaiban tekintheti meg: Application settings → IOC vizsgálat eredményei.
Az IOC vizsgálat eredményeinek megőrzése 30 napig történik. Ezt követően a Kaspersky Endpoint Security automatikusan törli a legrégebbi bejegyzéseket.