Güvenlik İhlali Göstergesi (IOC) bilgisayara yetkisiz erişimi (verilerin ele geçirilmesi) gösteren bir nesne veya etkinlik hakkında bir dizi veridir. Örneğin, sistemde oturum açmaya yönelik birçok başarısız girişim, bir Güvenlik İhlali Göstergesi oluşturabilir. IOC Taraması görevleri, bilgisayarda güvenlik ihlali göstergelerini bulmaya ve tehdit yanıtı önlemleri almaya olanak verir.
Kaspersky Endpoint Security, IOC dosyaları kullanarak güvenlik ihlali göstergelerini arar. IOC dosyaları, uygulamanın bir algılamayı saymak için eşleştirmeye çalıştığı gösterge gruplarını içeren dosyalardır. IOC dosyaları OpenIOC standardına uygun olmalıdır.
IOC Taraması görevi çalışma modu
Kaspersky Endpoint Detection and Response, risk altındaki verileri tespit etmek için standart IOC Scan görevleri oluşturmanıza izin verir. Standart IOC tarama görevi Web Console’da manuel olarak oluşturulan ve yapılandırılan bir grup veya yerel görevdir. Görevler, kullanıcı tarafından hazırlanan IOC dosyaları kullanılarak çalıştırılır. Manuel olarak bir güvenlik ihlali göstergesi eklemek istiyorsanız lütfen IOC dosyaları için gereklilikleri okuyun.
Aşağıdaki bağlantıya tıklayarak indirebileceğiniz dosyada, OpenIOC standardının IOC terimlerinin tam listesini içeren bir tablo bulunur.
IOC_TERMS.XLSX DOSYASINI İNDİRİN
Kaspersky Endpoint Security, uygulama Kaspersky Sandbox çözümünün bir parçası olarak kullanıldığında bağımsız IOC Taraması görevlerini de destekler.
Bir IOC Taraması görevi oluşturma
IOC Taraması görevlerini manuel olarak oluşturabilirsiniz:
Algılama ayrıntıları, tespit edilen bir tehdit hakkında toplanan bilgilerin tamamını görüntülemek için sunulan bir araçtır. Algılama ayrıntılarına örnek olarak bilgisayarda görünen dosyaların geçmişi verilebilir. Algılama ayrıntılarının yönetimi hakkında daha fazla bilgi için Kaspersky Endpoint Detection and Response Optimum Yardım ve Kaspersky Endpoint Detection and Response Expert Yardım içeriklerine bakabilirsiniz.
EDR Optimum için Web Console ve Cloud Console'da görev yapılandırabilirsiniz. EDR Expert için görev ayarları sadece Cloud Console'da kullanılabilir.
Bir IOC Taraması görevi oluşturmak için:
Görevler listesi açılır.
Görev Sihirbazı başlatılır.
Kaspersky Endpoint Security, görevi varsayılan olarak sistem kullanıcı hesabı (SYSTEM) olarak başlatır.
Sistem hesabı (SYSTEM), ağ sürücülerinde IOC Taraması görevini gerçekleştirme iznine sahip değildir. Görevi bir ağ sürücüsü için çalıştırmak istiyorsanız, o sürücüye erişimi olan bir kullanıcının hesabını seçin.
Ağ sürücülerindeki bağımsız IOC Taraması görevleri için görev özelliklerinden bu sürücüye erişimi olan kullanıcı hesabını manuel olarak seçmeniz gerekir.
Görevler listesinde yeni bir görev görüntülenir.
Görev özellikleri penceresi açılır.
IOC dosyalarını yükledikten sonra, IOC dosyalarından göstergelerin listesini görüntüleyebilirsiniz.
Görevi çalıştırdıktan sonra IOC dosyalarının eklenmesi veya kaldırılması önerilmez. Bu, görevin önceki çalıştırmaları için IOC tarama sonuçlarının yanlış görüntülenmesine neden olabilir. Yeni IOC dosyalarına göre güvenlik ihlali göstergelerini aramak için yeni görevler eklemeniz önerilir.
Kaspersky Endpoint Security, IOC Scan görevindeki veri türlerini (IOC belgeleri), yüklenen IOC dosyalarının içeriğine göre otomatik olarak seçer. Veri türlerinin seçiminin kaldırılması önerilmez.
Şu veri türleri için tarama kapsamlarını ayrıca yapılandırabilirsiniz:
Varsayılan olarak, Kaspersky Endpoint Security, yalnızca İndirilenler klasörü, masaüstü, geçici işletim sistemi dosyalarını içeren klasör gibi bilgisayarın önemli alanlarında IOC'ler için tarama yapar. Tarama kapsamını manuel olarak da ekleyebilirsiniz.
Windows kayıt defteri - RegistryItem veri türü için Kaspersky Endpoint Security bir kayıt defteri anahtarları grubunu tarar.
LAN'da Uyandırma bu görev için mevcut değildir. Bilgisayarın görevi çalıştırmak için açık olduğundan emin olun.
Sonuç olarak Kaspersky Endpoint Security, bilgisayardaki güvenlik ihlali göstergelerini arar. Görevin sonuçlarını Sonuçlar bölümündeki görev özelliklerinden izleyebilirsiniz. Algılanan güvenlik ihlali göstergeleri hakkındaki bilgileri görev özelliklerinde görüntüleyebilirsiniz: Uygulama ayarları → IOC Taraması Sonuçları.
IOC taraması sonuçları 30 gün boyunca saklanır. Bu süre sonrasında Kaspersky Endpoint Security en eski kayıtları otomatik olarak siler.
Sayfanın başına git