Rechercher des indicateurs de compromission dans Web Console

Vous pouvez rechercher des indicateurs de compromission à l'aide de la tâche d'analyse IOC dans Web Console uniquement lorsqu'elle est intégrée à Kaspersky Endpoint Detection and Response Optimum. Lors de l'intégration Kaspersky Endpoint Detection and Response (KATA), l'analyse IOC est effectuée du côté de la solution Kaspersky Endpoint Detection and Response (KATA).

Vous pouvez créer et exécuter une tâche Analyse IOC, ainsi que modifier ses paramètres dans Web Console.

Pour la tâche Analyse IOC, la fonctionnalité Wake-on-LAN dans les paramètres de planification n'est pas disponible. Assurez-vous que l'appareil est allumé pour terminer la tâche.

Vous pouvez modifier les paramètres généraux de la tâche Analyse IOC dans les propriétés de la tâche sous l'onglet Paramètres de l'application → Paramètres de l'analyse IOC.

Paramètres de la tâche Analyse IOC

Paramètre	Description
Redéfinir les fichiers IOC	Cliquer sur ce bouton ouvre le panneau Redéfinir les fichiers IOC. Lorsque vous cliquez sur le bouton Ajouter les fichiers IOC situé dans le panneau Redéfinir les fichiers IOC, une fenêtre s'ouvre dans laquelle vous pouvez sélectionner et télécharger sur l'appareil les fichiers IOC nécessaires pour rechercher des indicateurs de compromission. Après avoir téléchargé les fichiers IOC, vous pouvez consulter la liste des indicateurs des fichiers IOC.
Exporter la collection IOC	En cliquant sur le bouton, les fichiers IOC sont téléchargés sur l'appareil.
Appliquer les actions de réponse lorsqu'un IOC est détecté	La case active ou désactive l'application d'actions de réponse lorsque des indicateurs de compromission sont détectés. Si la case est cochée, lorsque des indicateurs de compromission sont détectés, l'application effectue les actions que vous sélectionnez : Exécuter une analyse des zones critiques. Si la case est cochée, lorsque des indicateurs de compromission sont détectés, l'application exécute la tâche Analyse des zones critiques. Par défaut, Kaspersky Endpoint Security vérifie la mémoire du noyau, les processus en cours d'exécution, les secteurs de démarrage et d'autres domaines importants. /lib/systemd /lib/udev /lib/dbus-1.0 /usr/local/lib/systemd/user /usr/share/dbus-1 /usr/share/gdm/autostart /usr/share/gnome/autostart /var/spool/at /var/spool/at/spool /var/spool/anacron /var/spool/cron /boot /bin /sbin /lib /lib32 /lib64 /libx32 /usr/lib /usr/lib32 /usr/lib64 /usr/libx32 ~/.config/autostart ~/.config/autostart-scripts ~/.config/plasma-workspace/env ~/.config/plasma-workspace/shutdown ~/.config/lxsession ~/.fluxbox/startup ~/.kde/Autostart /etc Placer la copie en quarantaine, supprimer l'objet. Si la case est cochée, lorsque des indicateurs de compromission sont détectés, l'application met en quarantaine une copie de l'objet et supprime l'objet d'origine. Isoler l'appareil du réseau. Si cette case est cochée, lorsque des indicateurs de compromission sont détectés, l'application isole l'appareil du réseau pour empêcher la menace de se propager. Vous pouvez configurer le temps d'isolation. Si l'appareil isolé est couvert par la stratégie, les paramètres de désactivation automatique de l'isolation après une période spécifiée sont appliqués, ainsi que les paramètres d'exclusion de l'isolation réseau spécifiés dans les propriétés de la stratégie. Si l'appareil isolé n'est pas couvert par la stratégie, les paramètres spécifiés dans les propriétés de l'appareil sont appliqués. Si la case n'est pas cochée, l'application ne prend aucune mesure de réponse lorsque des indicateurs de compromission sont détectés. Les informations sur la détection des indicateurs de compromission sont affichées dans la fenêtre des détails de l'alerte et dans les propriétés de la tâche.

Paramètre

Description

Redéfinir les fichiers IOC

Cliquer sur ce bouton ouvre le panneau Redéfinir les fichiers IOC.

Lorsque vous cliquez sur le bouton Ajouter les fichiers IOC situé dans le panneau Redéfinir les fichiers IOC, une fenêtre s'ouvre dans laquelle vous pouvez sélectionner et télécharger sur l'appareil les fichiers IOC nécessaires pour rechercher des indicateurs de compromission. Après avoir téléchargé les fichiers IOC, vous pouvez consulter la liste des indicateurs des fichiers IOC.

Exporter la collection IOC

En cliquant sur le bouton, les fichiers IOC sont téléchargés sur l'appareil.

Appliquer les actions de réponse lorsqu'un IOC est détecté

La case active ou désactive l'application d'actions de réponse lorsque des indicateurs de compromission sont détectés.

Si la case est cochée, lorsque des indicateurs de compromission sont détectés, l'application effectue les actions que vous sélectionnez :

Exécuter une analyse des zones critiques.
Si la case est cochée, lorsque des indicateurs de compromission sont détectés, l'application exécute la tâche Analyse des zones critiques.

Par défaut, Kaspersky Endpoint Security vérifie la mémoire du noyau, les processus en cours d'exécution, les secteurs de démarrage et d'autres domaines importants.
- /lib/systemd
- /lib/udev
- /lib/dbus-1.0
- /usr/local/lib/systemd/user
- /usr/share/dbus-1
- /usr/share/gdm/autostart
- /usr/share/gnome/autostart
- /var/spool/at
- /var/spool/at/spool
- /var/spool/anacron
- /var/spool/cron
- /boot
- /bin
- /sbin
- /lib
- /lib32
- /lib64
- /libx32
- /usr/lib
- /usr/lib32
- /usr/lib64
- /usr/libx32
- ~/.config/autostart
- ~/.config/autostart-scripts
- ~/.config/plasma-workspace/env
- ~/.config/plasma-workspace/shutdown
- ~/.config/lxsession
- ~/.fluxbox/startup
- ~/.kde/Autostart
- /etc
Placer la copie en quarantaine, supprimer l'objet.
Si la case est cochée, lorsque des indicateurs de compromission sont détectés, l'application met en quarantaine une copie de l'objet et supprime l'objet d'origine.
Isoler l'appareil du réseau.
Si cette case est cochée, lorsque des indicateurs de compromission sont détectés, l'application isole l'appareil du réseau pour empêcher la menace de se propager. Vous pouvez configurer le temps d'isolation.

Si l'appareil isolé est couvert par la stratégie, les paramètres de désactivation automatique de l'isolation après une période spécifiée sont appliqués, ainsi que les paramètres d'exclusion de l'isolation réseau spécifiés dans les propriétés de la stratégie. Si l'appareil isolé n'est pas couvert par la stratégie, les paramètres spécifiés dans les propriétés de l'appareil sont appliqués.

Si la case n'est pas cochée, l'application ne prend aucune mesure de réponse lorsque des indicateurs de compromission sont détectés. Les informations sur la détection des indicateurs de compromission sont affichées dans la fenêtre des détails de l'alerte et dans les propriétés de la tâche.

Vous pouvez modifier des paramètres supplémentaires de la tâche Analyse IOC dans les propriétés de la tâche sous l'onglet Paramètres de l'application → Avancés.

La section Avancés est disponible pour modification si vous avez chargé un fichier IOC dans le panneau Redéfinir les fichiers IOC.

Paramètres supplémentaires de la tâche Analyse IOC

Paramètre	Description
Types de données (documents IOC) à analyser pendant l'analyse IOC	Les cases de la section Avancés ajoutent les types de données suivants (documents IOC) pour analyse lors d'une analyse IOC : Processus - ProcessItem. Fichiers - FileItem. Documents IOC. Le lien vers les documents IOC est disponible si vous avez téléchargé un fichier IOC dans le panneau Redéfinir les fichiers IOC. En utilisant ce lien, vous pouvez accéder à la fenêtre Paramètres d'analyse de fichiers – FileItem, où vous pouvez ajouter des zones d'analyse. Tableaux ARP - ArpEntryItem. Ports réseau - PortItem. Comptes utilisateurs - UserItem. Objets système - SystemItem.
Rechercher des IOC dans les domaines suivants	La case active ou désactive l'analyse des zones suivantes : Fichiers sur tous les disques de l'appareil. Fichiers sur les disques système de l'appareil. Zones critiques sur l'appareil. Cette option est la sélection par défaut. Ne pas analyser les zones prédéfinies.
Analyser les zones indiqués	La case ajoute les zones répertoriées dans le tableau sous la case à la liste des zones d'analyse. Vous pouvez ajouter le chemin à la zone que vous souhaitez vérifier en cliquant sur le bouton Ajouter. Dans la fenêtre qui s'ouvre, saisissez le chemin d'accès à la zone dans le champ Zone et enregistrez les modifications. Vous pouvez supprimer une zone du tableau en cochant la case à côté de la zone à supprimer puis en cliquant sur le bouton Supprimer. Vous ne pouvez pas décocher la case si l'option Ne pas analyser les zones prédéfinies est sélectionnée dans la liste Rechercher des IOC dans les domaines suivants.

Paramètre

Description

Types de données (documents IOC) à analyser pendant l'analyse IOC

Les cases de la section Avancés ajoutent les types de données suivants (documents IOC) pour analyse lors d'une analyse IOC :

Processus - ProcessItem.
Fichiers - FileItem.
- Documents IOC.
Le lien vers les documents IOC est disponible si vous avez téléchargé un fichier IOC dans le panneau Redéfinir les fichiers IOC. En utilisant ce lien, vous pouvez accéder à la fenêtre Paramètres d'analyse de fichiers – FileItem, où vous pouvez ajouter des zones d'analyse.
Tableaux ARP - ArpEntryItem.
Ports réseau - PortItem.
Comptes utilisateurs - UserItem.
Objets système - SystemItem.

Rechercher des IOC dans les domaines suivants

La case active ou désactive l'analyse des zones suivantes :

Fichiers sur tous les disques de l'appareil.
Fichiers sur les disques système de l'appareil.
Zones critiques sur l'appareil. Cette option est la sélection par défaut.
Ne pas analyser les zones prédéfinies.

Analyser les zones indiqués

La case ajoute les zones répertoriées dans le tableau sous la case à la liste des zones d'analyse.

Vous pouvez ajouter le chemin à la zone que vous souhaitez vérifier en cliquant sur le bouton Ajouter. Dans la fenêtre qui s'ouvre, saisissez le chemin d'accès à la zone dans le champ Zone et enregistrez les modifications.

Vous pouvez supprimer une zone du tableau en cochant la case à côté de la zone à supprimer puis en cliquant sur le bouton Supprimer.

Vous ne pouvez pas décocher la case si l'option Ne pas analyser les zones prédéfinies est sélectionnée dans la liste Rechercher des IOC dans les domaines suivants.

Il n'est pas recommandé d'ajouter ou de supprimer des fichiers IOC une fois la tâche démarrée. Cela peut entraîner un affichage incorrect des résultats de l'analyse IOC pour les exécutions des tâches précédentes. Pour rechercher des indicateurs de compromission dans les nouveaux fichiers IOC, il est recommandé de créer de nouvelles tâches.

Vous pouvez afficher le résultat de la tâche Analyse IOCdans les propriétés de la tâche dans Web Console dans la section Paramètres de l'application → Résultats de l'analyse IOC. Le tableau affiche une liste des appareils sur lesquels la tâche Analyse IOC a été exécutée, ainsi que les résultats de la tâche. Dans la liste déroulante Appareil, vous pouvez choisir l'affichage des résultats de la tâche pour tous les appareils gérés sur lesquels la tâche a été exécutée ou pour un appareil spécifique.

Le tableau contient les informations suivantes :

État : état de détection des indicateurs de compromission, affiché sous forme d'icône.
Appareil : nom de l'appareil sur lequel la tâche a été lancée.
Heure : date et heure d’exécution de la tâche.
Résultats : informations sur le résultat d'exécution de la tâche Analyse IOC. L'un des états suivants peut être affiché :
- IOC détecté : affiché sous forme de lien qui, lorsque vous cliquez dessus, ouvre une fenêtre avec les détails de l'alerte ;
- Aucun IOC détecté.

La période de conservation des résultats de l'analyse IOC est de 30 jours. Passé ce délai, Kaspersky Endpoint Security supprime automatiquement les anciens enregistrements.

Haut de page