Quét các dấu hiệu về sự xâm nhập (tác vụ tiêu chuẩn)

Một Dấu hiệu về sự xâm nhập (IOC) là một tập hợp dữ liệu về một đối tượng hoặc hoạt động cho biết sự truy cập trái phép vào máy tính (xâm nhập dữ liệu). Ví dụ: nhiều nỗ lực đăng nhập không thành công vào hệ thống có thể cấu thành một Dấu hiệu về sự xâm nhập. Tác vụ Quét IOC cho phép tìm các Dấu hiệu về sự xâm nhập trên máy tính và thực hiện các biện pháp ứng phó với mối đe dọa.

Kaspersky Endpoint Security sẽ tìm kiếm các dấu hiệu về sự xâm nhập bằng cách sử dụng các tập tin IOC. Tập tin IOC là các tập tin chứa các tập hợp dấu hiệu mà ứng dụng cố gắng đối chiếu để đếm một lần phát hiện. Các tập tin IOC phải tuân theo tiêu chuẩn OpenIOC.

Chế độ chạy tác vụ Quét IOC

Kaspersky Endpoint Detection and Response cho phép bạn tạo các tác vụ Quét IOC tiêu chuẩn để phát hiện dữ liệu bị xâm nhập. Tác vụ quét IOC tiêu chuẩn là một nhóm hoặc tác vụ cục bộ được tạo và cấu hình theo cách thủ công trong Bảng điều khiển web. Các tác vụ được chạy bằng các tập tin IOC do người dùng chuẩn bị. Nếu bạn muốn thêm dấu hiệu về sự xâm nhập theo cách thủ công, vui lòng đọc yêu cầu đối với các tập tin IOC.

Tập tin mà bạn có thể tải về bằng cách nhấn vào liên kết bên dưới, có chứa một bảng kèm danh sách đầy đủ các từ của tiêu chuẩn OpenIOC.

TẢI XUỐNG TẬP TIN IOC_TERMS.XLSX

Kaspersky Endpoint Security cũng hỗ trợ tác vụ quét IOC độc lập khi ứng dụng được sử dụng như một phần của giải pháp Kaspersky Sandbox.

Tạo tập tin IOC

Kể từ Kaspersky Endpoint Security 12.10 cho Windows, bạn có thể tạo tập tin IOC ngay trong thiết lập tác vụ. Để tạo tập tin IOC, bạn phải chuẩn bị tập tin TXT có danh sách các dấu hiệu xâm nhập. Bạn có thể thêm danh sách các đối tượng sau đây làm các dấu hiệu xâm nhập:

• Mã hash tập tin (MD5 / SHA256).

  Ứng dụng chuẩn bị một tập tin IOC có phạm vi quét FileItem/Md5sum hoặc FileItem/Sha256sum.

• Địa chỉ IP (IPv4, IPv6).

  Ứng dụng chuẩn bị một tập tin IOC có phạm vi quét PortItem/RemoteIP.

• Tên DNS.

  Ứng dụng chuẩn bị một tập tin IOC có phạm vi quét DnsEntryItem/RecordName.

Cách tạo tập tin IOC trong Bảng điều khiển web

Tạo một tác vụ Quét IOC

Bạn có thể tạo các tác vụ Quét IOC theo cách thủ công:

• Chi tiết về cảnh báo (chỉ dành cho EDR Optimum).

  Chi tiết về phát hiện là một công cụ để xem toàn bộ thông tin thu thập được về một mối đe dọa được phát hiện. Chi tiết về phát hiện bao gồm, ví dụ như lịch sử của các tập tin xuất hiện trên máy tính. Để biết chi tiết về việc quản lý thông tin chi tiết về phát hiện, hãy tham khảo Trợ giúp của Kaspersky Endpoint Detection and Response Optimum và Trợ giúp của Kaspersky Endpoint Detection and Response Expert.

• Sử dụng Trình hướng dẫn Tác vụ.

Bạn có thể cấu hình tác vụ cho EDR Optimum trong Bảng điều khiển web và Bảng điều khiển đám mây. Thiết lập tác vụ cho EDR Expert chỉ khả dụng trong Bảng điều khiển đám mây.

Để tạo ra một tác vụ Quét IOC:

1. Trong cửa sổ chính của Bảng điều khiển web, hãy chọn Assets (Devices) → Tasks.

   Danh sách tác vụ sẽ mở.

2. Nhấn vào Add.

   Trình hướng dẫn Tác vụ sẽ được bắt đầu.

3. Cấu hình các thiết lập của tác vụ:
   1. Trong danh sách thả xuống Application, hãy chọn Kaspersky Endpoint Security for Windows (12.10.0).
   2. Trong danh sách thả xuống Task type, hãy chọn IOC Scan.
   3. Trong trường Task name, hãy nhập một mô tả ngắn.
   4. Trong phần Devices to which the task will be assigned, chọn phạm vi tác vụ.
4. Chọn các thiết bị theo phạm vi tác vụ được chọn. Chuyển sang bước tiếp theo.
5. Nhập thông tin đăng nhập tài khoản của người dùng có quyền mà bạn muốn sử dụng để chạy tác vụ. Chuyển sang bước tiếp theo.

   Theo mặc định, Kaspersky Endpoint Security sẽ khởi chạy tác vụ dưới quyền tài khoản người dùng hệ thống (SYSTEM).

   Tài khoản hệ thống (SYSTEM) không có quyền thực hiện tác vụ Quét IOC trên các ổ đĩa mạng. Nếu bạn muốn chạy tác vụ cho một ổ đĩa mạng, hãy chọn tài khoản của người dùng có quyền truy cập vào ổ đĩa đó.

   Đối với các tác vụ Quét IOC độc lập trên ổ đĩa mạng, trong thuộc tính của tác vụ, bạn cần chọn thủ công tài khoản người dùng có quyền truy cập vào ổ đĩa này.

6. Thoát Trình hướng dẫn.

   Một tác vụ mới sẽ được hiển thị trong danh sách các tác vụ.

7. Nhấn tác vụ mới.

   Cửa sổ thuộc tính tác vụ sẽ được mở ra.

8. Chọn thẻ Application settings.
9. Vào mục IOC Scan settings.
10. Tải lên các tập tin IOC để tìm kiếm các dấu hiệu xâm nhập.

    Sau khi bạn tải lên các tập tin IOC, ứng dụng sẽ hiển thị thông tin tóm tắt về tập tin, bao gồm danh sách các chỉ số không vượt qua kiểm tra. Sau khi tải lên các tập tin IOC, bạn có thể chỉnh sửa thủ công các tập tin đó trong trình chỉnh sửa tích hợp trực tiếp trong thuộc tính tác vụ. Kaspersky Endpoint Security hỗ trợ chỉnh sửa các tập tin IOC tuân thủ tiêu chuẩn OpenIOC 1.1. Không thể chỉnh sửa các tập tin OpenIOC 1.0.

    Kaspersky Endpoint Security sẽ thêm các tập tin IOC vào bộ sưu tập IOC. Nếu cần, bạn có thể tạm thời loại trừ các tập tin IOC khỏi phạm vi tác vụ.

    Không nên thêm hoặc xóa tập tin IOC sau khi chạy tác vụ. Làm vậy có thể khiến kết quả quét IOC hiển thị không chính xác cho các lần chạy tác vụ trước đó. Để tìm kiếm các dấu hiệu về sự xâm nhập bằng các tập tin IOC mới, bạn nên thêm các tác vụ mới.

11. Cấu hình các hành động khi phát hiện IOC:
    • Isolate computer from the network. Nếu chọn tùy chọn này, Kaspersky Endpoint Security sẽ cách ly máy tính khỏi mạng để ngăn chặn mối đe dọa lây lan. Bạn có thể cấu hình thời gian cách ly trong thiết lập thành phần Endpoint Detection and Response.

      Nếu bỏ chọn hộp kiểm này, bạn có thể cô lập máy tính khỏi mạng sau khi chạy tác vụ theo cách thủ công. Nếu tác vụ Quét IOC phát hiện một IOC, bạn có thể cô lập máy tính khỏi mạng trực tiếp từ IOC (thuộc tính của tác vụ Quét IOC → Application settings → IOC Scan results). Kaspersky Endpoint Security cũng cho phép quản lý ngay lập tức các thiết lập bổ sung: Khoảng thời gian vô hiệu hóa cô lập mạng và Loại trừ cô lập mạng.

    • Move copy to Quarantine, delete object. Nếu tùy chọn này được chọn, Kaspersky Endpoint Security sẽ xóa đối tượng độc hại được tìm thấy trên máy tính. Trước khi xóa đối tượng, Kaspersky Endpoint Security sẽ tạo một bản sao lưu trong trường hợp đối tượng cần được khôi phục sau này. Kaspersky Endpoint Security sẽ di chuyển bản sao lưu vào Khu vực cách ly.

      Nếu bỏ chọn hộp kiểm này, bạn có thể cách ly tập tin theo cách thủ công sau khi chạy tác vụ theo cách thủ công. Nếu tác vụ Quét IOC phát hiện tập tin có thể gây nguy hiểm cho dữ liệu, bạn có thể cách ly tập tin này trực tiếp khỏi kết quả Quét IOC (Application settings → IOC Scan results). Kết quả là Kaspersky Endpoint Security sẽ khởi động trình hướng dẫn tạo tác vụ với dữ liệu có sẵn của tập tin đã phát hiện. Bạn chỉ cần quản lý các thiết lập tác vụ bổ sung, ví dụ như thiết lập lịch tác vụ.

    • Run Critical Areas Scan. Nếu tùy chọn này được chọn, Kaspersky Endpoint Security sẽ chạy tác vụ Quét khu vực quan trọng. Theo mặc định, Kaspersky Endpoint Security sẽ quét nhân kernel, các tiến trình đang chạy, và phân vùng khởi động ổ đĩa.
12. Vào mục Advanced.
13. Chọn loại dữ liệu (tài liệu IOC) cần phải được phân tích thuộc một phần của tác vụ.

    Kaspersky Endpoint Security sẽ tự động chọn loại dữ liệu (tài liệu IOC) cho tác vụ Quét IOC theo nội dung của các tập tin IOC được nạp. Bạn không nên bỏ chọn các loại dữ liệu.

    Bạn có thể cấu hình thêm các phạm vi quét cho các loại dữ liệu sau:

    • Files - FileItem. Đặt một phạm vi quét IOC trên máy tính sử dụng các phạm vi quét định sẵn.

      Theo mặc định, Kaspersky Endpoint Security sẽ chỉ quét các IOC trong các khu vực quan trọng của máy tính như thư mục Downloads, thư mục Desktop, thư mục chứa các tập tin tạm thời của hệ điều hành, v.v. Bạn cũng có thể thêm phạm vi quét theo cách thủ công.

    • Windows event logs - EventLogItem. Nhập khoảng thời gian khi các sự kiện được ghi nhật ký. Bạn cũng có thể lựa chọn nhật ký sự kiện Windows nào phải được sử dụng để quét IOC. Theo mặc định, các nhật ký sự kiện sau sẽ được lựa chọn: nhật ký sự kiện ứng dụng, nhật ký sự kiện hệ thống và nhật ký sự kiện bảo mật.
    • Windows registry - RegistryItem. Cấu hình phạm vi quét IOC trong registry.

      Theo mặc định, Kaspersky Endpoint Security sẽ quét một tập hợp khóa registry.

14. Trong cửa sổ thuộc tính tác vụ, hãy chọn thẻ Schedule.
15. Cấu hình lịch tác vụ.

    Wake-on-LAN không khả dụng cho tác vụ này. Đảm bảo rằng máy tính được bật để chạy tác vụ.

16. Lưu các thay đổi của bạn.
17. Chọn hộp kiểm cạnh tác vụ.
18. Nhấn vào Start.

Kết quả là Kaspersky Endpoint Security sẽ chạy lệnh tìm kiếm các dấu hiệu về sự xâm nhập trên máy tính. Bạn có thể xem kết quả tác vụ trong các thuộc tính tác vụ trong mục Results. Bạn có thể xem thông tin về các dấu hiệu về sự xâm nhập được phát hiện trong thuộc tính của tác vụ: Application settings → IOC Scan results. Trong kết quả quét IOC, bạn cũng có thể cách ly tập tin được phát hiện hoặc cô lập máy tính khỏi mạng theo cách thủ công.

Kết quả quét IOC được lưu trong vòng 30 ngày. Sau khoảng thời gian này, Kaspersky Endpoint Security sẽ tự động xóa các mục cũ nhất.

Về đầu trang