Untersuchung auf Kompromittierungsindikatoren (eigenständige Aufgabe)

Ein Kompromittierungsindikator (IOC) ist ein Datensatz, der sich auf ein Objekt oder eine Aktivität bezieht und der auf unbefugten Zugriff auf den Computer (Kompromittierung von Daten) hinweist. Beispielsweise können viele erfolglose Versuche, sich beim System anzumelden, einen Kompromittierungsindikator darstellen. Mithilfe der Aufgabe IOC-Untersuchung können Kompromittierungsindikatoren auf dem Computer gefunden und Maßnahmen zur Reaktion auf Bedrohungen ergreifen werden.

Kaspersky Endpoint Security sucht mithilfe von IOC-Dateien nach Kompromittierungsindikatoren. IOC-Dateien sind Dateien, die Sätze von Indikatoren enthalten, mit denen die Anwendung nach Übereinstimmungen sucht. IOC-Dateien müssen dem OpenIOC-Standard entsprechen. Kaspersky Endpoint Security generiert automatisch IOC-Dateien für „Kaspersky Sandbox“.

Ausführungsmodus der Aufgabe IOC-Untersuchung

Das Programm erstellt eigenständige IOC-Untersuchungsaufgaben für „Kaspersky Sandbox“. Eine eigenständige IOC-Untersuchungsaufgabe ist eine Gruppenaufgabe, die automatisch erstellt wird, wenn auf eine durch „Kaspersky Sandbox“ erkannte Bedrohung reagiert wird. Kaspersky Endpoint Security erstellt die IOC-Datei automatisch. Benutzerdefinierte IOC-Dateien werden nicht unterstützt. Aufgaben werden 30 Tage nach dem Erstellen automatisch gelöscht. Weitere Informationen zu eigenständigen IOC-Untersuchungsaufgaben finden Sie in der Hilfe zur Kaspersky Sandbox.

Einstellungen der Aufgabe IOC-Untersuchung

Kaspersky Sandbox kann als Reaktion auf Bedrohungen automatisch IOC-Untersuchung-Aufgaben erstellen und ausführen.

Die Einstellungen können nur über die „Web Console“ konfiguriert werden.

Damit die eigenständigen IOC-Untersuchungsaufgaben von „Kaspersky Sandbox“ funktionieren, benötigen Sie Kaspersky Security Center 13.2.

Um die Einstellungen der Aufgabe IOC-Untersuchung zu ändern:

  1. Wählen Sie im „Web Console“-Hauptfenster den Punkt Assets (Geräte)Aufgaben aus.

    Die Aufgabenliste wird geöffnet.

  2. Klicken Sie auf die Kaspersky Endpoint Security-Aufgabe IOC-Untersuchung.

    Das Fenster mit den Aufgabeneigenschaften wird geöffnet.

  3. Wählen Sie die Registerkarte Programmeinstellungen aus.
  4. Wechseln Sie zum Abschnitt IOC-Untersuchungseinstellungen.
  5. Passen Sie die Aktionen bei der IOC-Erkennung an:
    • Kopie in die Quarantäne verschieben, Objekt löschen. Wenn diese Option ausgewählt ist, löscht Kaspersky Endpoint Security das auf dem Computer gefundene schädliche Objekt. Bevor das Objekts gelöscht wird, erstellt Kaspersky Endpoint Security eine Backup-Kopie für den Fall, dass das Objekt später wiederhergestellt werden muss. Kaspersky Endpoint Security verschiebt die Backup-Kopie in die Quarantäne.
    • Untersuchung wichtiger Bereiche ausführen. Wenn diese Option ausgewählt ist, führt Kaspersky Endpoint Security die Untersuchung wichtiger Bereiche aus. Kaspersky Endpoint Security untersucht standardmäßig den Kernel-Speicher, die laufenden Prozesse und die Bootsektoren.
    • Nur ausführen, wenn der Computer inaktiv ist. Schiebt den Start der Aufgabe auf, wenn die Computerressourcen ausgelastet sind. Kaspersky Endpoint Security startet die Untersuchungsaufgabe, wenn der Computer gesperrt oder der Bildschirmschoner eingeschaltet ist. Wenn Sie die Aufgabenausführung unterbrochen haben (z. B. den Computer entsperrt haben), führt Kaspersky Endpoint Security die Aufgabe automatisch aus und setzt sie an der Stelle fort, an der sie unterbrochen wurde. Mit dieser Zeitplanoption können Sie die Computerressourcen schonen, während der Computer verwendet wird.
  6. Speichern Sie die vorgenommenen Änderungen.

Die Ergebnisse der Aufgabe können Sie in den Aufgabeneigenschaften im Abschnitt Ergebnisse einsehen. Sie können die Informationen zu erkannten Kompromittierungsindikatoren in den Aufgabeneigenschaften anzeigen: ProgrammeinstellungenIOC-Untersuchungsergebnisse.

IOC-Untersuchungsergebnisse werden für 30 Tage gespeichert. Nach diesem Zeitraum löscht Kaspersky Endpoint Security automatisch die ältesten Einträge.

Nach oben