الفحص للبحث عن مؤشرات الاختراق (مهمة مستقلة)

مؤشر الاختراق (IOC) عبارة عن مجموعة من البيانات حول كائن أو نشاط يشير إلى وصول غير مصرح به إلى الكمبيوتر (اختراق البيانات). على سبيل المثال، من الممكن أن تشكل العديد من المحاولات الفاشلة لتسجيل الدخول إلى النظام مؤشرًا على الاختراق. تتيح مهمة فحص IOC العثور على مؤشرات الاختراق على الكمبيوتر واتخاذ إجراءات الاستجابة للتهديدات.

يبحث Kaspersky Endpoint Security عن مؤشرات الاختراق باستخدام ملفات IOC.‏ ملفات IOC هي ملفات تحتوي على مجموعات المؤشرات التي يحاول التطبيق مطابقتها لإحصاء الاكتشاف. ويجب أن تتوافق ملفات مؤشر الاختراق (IOC) مع معيار OpenIOC. يُنشئ Kaspersky Endpoint Security تلقائيًا ملفات IOC لحل Kaspersky Sandbox.‏

وضع تشغيل مهمة فحص IOC

ينشئ التطبيق مهام فحص IOC مستقلة لحل Kaspersky Sandbox.‏ مهمة فحص IOC المستقلة هي مهمة جماعية يتم إنشاؤها تلقائيًا عند الرد على تهديد تم اكتشافه بواسطة Kaspersky Sandbox. وينشئ Kaspersky Endpoint Security ملف IOC تلقائيًا. ولا يتم دعم ملفات IOC المخصصة. ويتم حذف المهام تلقائيًا بعد 30 يومًا من وقت الإنشاء. وللمزيد من التفاصيل حول مهام فحص IOC المستقلة، يرجى الرجوع إلى تعليمات Kaspersky Sandbox‏.‏

إعدادات مهمة فحص IOC

قد ينشئ Kaspersky Sandbox ويُشّغل مهام فحص IOC تلقائيًا عند الرد على التهديدات.

يمكنك تكوين الإعدادات فقط في Web Console.‏

وتحتاج إلى برنامج Kaspersky Security Center 13.2 لكي تعمل مهام فحص IOC المستقلة في Kaspersky Sandbox.‏

لتغيير إعدادات مهمة فحص IOC:

  1. في النافذة الرئيسية لـ Web Console، حدد Assets (Devices)Tasks.‏

    تفتح قائمة المهام.

  2. انقر فوق المهمة IOC Scan في برنامج Kaspersky Endpoint Security.‏

    نافذة خصائص المهمة.

  3. حدد علامة التبويب Application settings.
  4. انتقل إلى القسم IOC Scan settings.
  5. تكوين الإجراءات عند اكتشاف IOC:‏
    • Move copy to Quarantine, delete object. في حالة تحديد هذا الخيار، يحذف Kaspersky Endpoint Security الكائن الضار الموجود على الكمبيوتر. قبل حذف الكائن، يُنشئ Kaspersky Endpoint Security نسخة احتياطية في حالة الحاجة إلى استعادة الكائن لاحقًا. ينقل Kaspersky Endpoint Security النسخة الاحتياطية إلى العزل.
    • Run Critical Areas Scan. في حالة تحديد هذا الخيار، يُشغل Kaspersky Endpoint Security مهمة فحص المناطق الحرجة. بشكلٍ افتراضي، يفحص Kaspersky Endpoint Security ذاكرة kernel والعمليات قيد التشغيل وقطاعات تمهيد القرص.
    • Run only when the computer is idle. تأجيل بدء مهمة عندما تكون موارد الكمبيوتر مشغولة. يبدأ Kaspersky Endpoint Security مهمة الفحص إذا كان الكمبيوتر مقفلاً أو إذا كانت شاشة التوقف قيد التشغيل. إذا قاطعت تنفيذ المهمة، على سبيل المثال بواسطة إلغاء تأمين الكمبيوتر، يجري Kaspersky Endpoint Security تشغيل المهمة تلقائيًا، ويستمر من النقطة التي توقفت عندها. يتيح لك خيار الجدولة هذا الحفاظ على موارد الكمبيوتر عند استخدام الكمبيوتر.
  6. احفظ تغييراتك.

ويمكنك عرض نتائج المهمة في خصائص المهمة في القسم Results. ويمكنك عرض المعلومات حول المؤشرات المكتشفة للاختراق في خصائص المهمة: Application settingsIOC Scan results.‏

يتم الاحتفاظ بنتائج فحص IOC لمدة 30 يومًا. وبعد هذه الفترة، يحذف برنامج Kaspersky Endpoint Security تلقائيًا الإدخالات القديمة.

أعلى الصفحة