Análisis en busca de indicadores de peligro

Un indicador de peligro (IOC) es un conjunto de datos sobre un objeto o una actividad que indica acceso no autorizado al equipo (datos en riesgo). Por ejemplo, muchos intentos fallidos de iniciar sesión en el sistema pueden constituir un indicador de peligro. La tarea Análisis de IOC permite encontrar indicadores de peligro en el equipo y tomar medidas de respuesta a las amenazas.

Kaspersky Endpoint Security busca indicadores de peligro a través de archivos de IOC. Los archivos de IOC son archivos que contienen los conjuntos de indicadores que la aplicación busca para contar una detección. Los archivos de IOC deben cumplir con el estándar de OpenIOC.

Modo de ejecución de la tarea Análisis de IOC

Kaspersky Endpoint Detection and Response le permite crear tareas estándar de Análisis de IOC para detectar datos en riesgo. La tarea estándar de Análisis de IOC es una tarea grupal o local que se crea y configura manualmente en Web Console. Las tareas se ejecutan con archivos de IOC que prepara el usuario. Si desea agregar un indicador de peligro manualmente, lea los requisitos para los archivos de IOC.

Crear una tarea de Análisis de IOC

Puede crear tareas de Análisis de IOC manualmente:

• En Detalles de alerta (solo para EDR Optimum).

  Detalles de alerta es una herramienta que permite ver toda la información que se recopiló sobre una amenaza detectada. Por ejemplo, Detalles de alerta incluye el historial de archivos que aparecen en el equipo. Para obtener más información sobre la administración de los detalles de las alertas, consulte la Ayuda de Kaspersky Endpoint Detection and Response Optimum.

• Con el Asistente de tareas.

Para crear una tarea de Análisis de IOC:

1. En la ventana principal de Web Console, seleccione Dispositivos > Tareas.

   Se abre la lista de tareas.

2. Haga clic en Agregar.

   Se inicia el Asistente para crear nueva tarea.

3. Defina la configuración de la tarea:
   1. En la lista desplegable Aplicación, seleccione Kaspersky Endpoint Security for Mac (12.1).
   2. En la lista desplegable Tipo de tarea, seleccione Análisis de IOC.
   3. En el campo Nombre de la tarea, escriba una breve descripción.
   4. En el bloque Seleccione los dispositivos a los que se asignará la tarea, seleccione el alcance de la tarea.
4. Seleccione los dispositivos de acuerdo con el alcance elegido de la tarea.
5. En la sección Configuración del Análisis de IOC, cargue los archivos de IOC para buscar indicadores de peligro.

   Después de cargar los archivos de IOC, puede ver la lista de indicadores en los archivos de IOC.

   Nota: No se recomienda agregar ni eliminar archivos de IOC después de ejecutar la tarea. Esto puede hacer que los resultados de Análisis de IOC se muestren de forma incorrecta para ejecuciones anteriores de la tarea. Para buscar indicadores de peligro por nuevos archivos de IOC, se recomienda agregar nuevas tareas.

6. Configurar acciones al detectar un IOC:
   • Aislar el equipo de la red. Si se selecciona esta opción, Kaspersky Endpoint Security aísla el equipo de la red para evitar la propagación de la amenaza. Puede configurar la duración del aislamiento en la configuración del componente Endpoint Detection and Response.
   • Mover la copia a la Cuarentena y eliminar objeto. Si se selecciona esta opción, Kaspersky Endpoint Security elimina el objeto malicioso hallado en el equipo. Antes de eliminar el objeto, Kaspersky Endpoint Security crea una copia de seguridad en caso de que el objeto deba restaurarse más adelante. Kaspersky Endpoint Security mueve la copia de seguridad a Cuarentena.
   • Ejecutar un análisis de áreas críticas. Si se selecciona esta opción, Kaspersky Endpoint Security ejecuta la tarea Análisis rápido. De manera predeterminada, Kaspersky Endpoint Security analiza la memoria, los objetos de inicio y las carpetas del sistema.
7. Vaya a la sección Avanzado.
8. Seleccione los tipos de datos (documentos de IOC) que se deben analizar como parte de la tarea.

   Nota: Kaspersky Endpoint Security selecciona automáticamente los tipos de datos (documentos de IOC) para la tarea Análisis de IOC de acuerdo con el contenido de los archivos de IOC cargados. No se recomienda anular la selección de los tipos de datos.

   Además, puede configurar alcances del análisis para los siguientes tipos de datos:

   • Archivos: FileItem
   • Cuentas de usuarios: UserItem
   • Hosts: SystemInfoItem
9. Haga clic en Aceptar.
10. Ingrese las credenciales de la cuenta del usuario cuyos derechos desee usar para ejecutar la tarea. Haga clic en Siguiente.

    Nota: De manera predeterminada, Kaspersky Endpoint Security inicia la tarea como la cuenta de usuario del sistema (raíz).

11. En el paso Finalizar la creación de la tarea, haga clic en el botón Finalizar para crear la tarea y cerrar el asistente.

    Si habilitó la opción Abrir los detalles de la tarea cuando se complete la creación, se abre la ventana de configuración de la tarea. En esta ventana, puede verificar los parámetros de la tarea, modificarlos o programar el inicio de la tarea, si es necesario.

12. Haga clic en la tarea nueva.

    Se abre la ventana de propiedades de la tarea.

13. Seleccione la pestaña Programar.
14. Configure la programación de la tarea.

    Nota: Asegúrese de que el equipo esté encendido para ejecutar la tarea.

15. Haga clic en el botón Guardar.
16. Para ejecutar la tarea de inmediato independientemente de la programación configurada, haga lo siguiente:
    1. Seleccione la casilla junto a la tarea.
17. Haga clic en el botón Ejecutar.

    Como resultado, Kaspersky Endpoint Security ejecuta la búsqueda de indicadores de peligro en el equipo. Puede ver los resultados de la tarea en las propiedades de la tarea, en la sección Resultados. Puede ver la información sobre los indicadores de peligro detectados en las propiedades de la tarea: Configuración de la aplicación > Resultados del Análisis de IOC.

Nota: Los resultados del Análisis de IOC se conservan durante 30 días. Después de este período, Kaspersky Endpoint Security elimina automáticamente las entradas más antiguas.