Scannen op IoC's (Indicators of Compromise)

Een Indicator of Compromise (IOC) is een set gegevens over een object of activiteit die wijst op onbevoegde toegang tot de computer (compromittering van gegevens). Vele mislukte aanmeldingen bij het systeem kunnen bijvoorbeeld een Indicator of Compromise zijn. Met de IOC-scantaken kunnen Indicators of Compromise op de computer worden gevonden en maatregelen als respons op deze dreiging worden genomen.

Kaspersky Endpoint Security zoekt Indicators of Compromise met behulp van IOC-bestanden. Dat zijn bestanden met de sets indicatoren die het programma zoekt om een detectie waar te nemen. IOC-bestanden moet voldoen aan de OpenIOC-norm. Kaspersky Endpoint Security maakt IOC-bestanden automatisch aan en kan ook IOC-bestanden laden die de gebruiker heeft voorbereid. Als u handmatig een indicator van een compromis wilt toevoegen, leest u de vereisten voor IOC-bestanden.

Het bestand dat u kunt downloaden door op de onderstaande koppeling te klikken, bevat een tabel met de volledige lijst met IOC-voorwaarden van de OpenIOC-norm die worden ondersteund door de Kaspersky Endpoint Detection and Response-oplossing.

IOC_TERMS.XLSX DOWNLOADEN

Uitvoermodi van IOC-scantaak

Kaspersky Endpoint Security kan de IOC-scan in de volgende modi uitvoeren:

• De standaard IOC-scantaak is een groepstaak of lokale taak die handmatig is gemaakt en geconfigureerd in de Webconsole. De taken worden uitgevoerd met IOC-bestanden die door de gebruiker zijn voorbereid.
• De zelfstandige IOC-scantaak is een groepstaak die automatisch is gemaakt als respons op een dreiging die door Kaspersky Sandbox is gedetecteerd. Kaspersky Endpoint Security genereert automatisch het IOC-bestand. Aangepaste IOC-bestanden worden niet ondersteund. De taken worden automatisch verwijderd zeven dagen na de laatste start ervan of na de aanmaak ervan als de taak nooit is uitgevoerd. Voor meer informatie over zelfstandige IOC-scantaken raadpleegt u de Kaspersky SandboxHelp.

IOC-scantaak uitvoeren

Kaspersky Sandbox kan automatisch IOC Scan-taken bij het reageren op bedreigingen. In Kaspersky Endpoint Detection and Response Optimum kunt u alleen handmatig IOC Scan-taken maken.

U kunt IOC Scantaken handmatig maken:

• In detectiegegevens.

  Detectiegegevens zijn een hulpmiddel waar alle verzamelde informatie over een gedetecteerde dreiging zichtbaar is en waar responsacties kunnen worden beheerd. Deze detectiegegevens bevatten bijvoorbeeld de geschiedenis van bestanden die op de computer terechtkomen. Voor informatie over het beheer van detectiegegevens raadpleegt u de Help van Kaspersky Endpoint Detection and Response Optimum.

• Met de taakwizard.

U kunt de instellingen alleen configureren in de webconsole.

Om standalone IOC-scantaken voor reactie op dreigingen te maken, is Kaspersky Security Center versie 13.2 vereist.

Zo maakt u een IOC-scantaak:

1. Selecteer in het hoofdvenster van Webconsole achtereenvolgens Devices → Tasks.

   De lijst met taken wordt geopend.

2. Klik op de knop Add.

   De wizard Taak wordt gestart.

3. Configureer de taakinstellingen:
   1. Selecteer in de vervolgkeuzelijst Application Kaspersky Endpoint Security voor Windows (11.7.0).
   2. Selecteer in de vervolgkeuzelijst Task type de optie IOC Scan.
   3. Typ in het veld Task name een korte omschrijving.
   4. Selecteer in het gedeelte Select devices to which the task will be assigned het bereik van de taak.
4. Selecteer apparaten naargelang de geselecteerde optie voor het bereik van de taak. Klik op de knop Next.
5. Voer de accountgegevens in van de gebruiker wiens rechten u wilt gebruiken om de taak uit te voeren. Klik op de knop Next.

   Standaard start Kaspersky Endpoint Security de taak met het gebruikersaccount van het systeem (SYSTEM).

   De systeemaccount (SYSTEM) heeft geen machtiging om de IOC Scantaak uit te voeren op netwerkstations. Als u de taak wilt starten voor een netwerkschijf, selecteert u het account van een gebruiker die toegang heeft tot die schijf.

   Voor zelfstandige IOC-scantaken op netwerkstations moet u in de taakeigenschappen handmatig het gebruikersaccount selecteren dat toegang heeft tot dit station.

6. Voltooi de wizard door op de knop Finish te klikken.

   U ziet een nieuwe taak in de lijst met taken.

7. Klik op de nieuwe taak.

   U ziet nu het venster met de taakeigenschappen.

8. Selecteer het tabblad Application settings.
9. Ga naar het gedeelte IOC scan settings.
10. Laad de IOC-bestanden om Indicators of Compromise te zoeken.

    Nadat de IOC-bestanden zijn geladen, kunt u de lijst met indicatoren van de IOC-bestanden bekijken. Indien nodig kunt u IOC-bestanden tijdelijk uitsluiten uit het bereik van de taak.

    Het toevoegen of verwijderen van IOC-bestanden nadat de taak is uitgevoerd, wordt niet aanbevolen. Dit kan ertoe leiden dat de IOC-scanresultaten onjuist worden weergegeven voor eerdere uitvoeringen van de taak. Om indicatoren van compromis door nieuwe IOC-bestanden te zoeken, wordt aanbevolen om nieuwe taken toe te voegen.

11. Configureer acties bij de detectie van IOC's:
    • Isolate computer from the network. Als deze optie is geselecteerd, isoleert Kaspersky Endpoint Security de computer van het netwerk zodat de dreiging zich niet kan verspreiden. U kunt in de instellingen van het onderdeel Endpoint Detection and Response de duur van de isolatie configureren.
    • Move copy to Quarantine, delete object. Als deze optie is geselecteerd, verwijdert Kaspersky Endpoint Security het schadelijke object dat op de computer is gevonden. Voordat het object wordt verwijderd, maakt Kaspersky Endpoint Security een back-up voor het geval dat het object later moet worden teruggezet. Kaspersky Endpoint Security plaatst de back-up in Quarantaine.
    • Run scan of critical areas. Als deze optie is geselecteerd, start Kaspersky Endpoint Security de taak Kritieke Gebiedenscan. Standaard scant Kaspersky Endpoint Security het kernelgeheugen, actieve processen en de opstartsectoren van de schijf.
12. Ga naar het gedeelte Advanced.
13. Selecteer gegevenstypen (IOC-documenten) die als onderdeel van de taak moeten worden geanalyseerd.

    Kaspersky Endpoint Security selecteert automatisch gegevenstypen (IOC-documenten) voor de IOC-scantaak overeenkomstig de inhoud van geladen IOC-bestanden. Gegevenstypen deselecteren wordt niet aanbevolen.

    U kunt aanvullende scanbereiken voor de volgende gegevenstypen configureren:

    • Files - FileItem. Stel een IOC-scanbereik op de computer in met vooraf ingestelde bereiken.

      Kaspersky Endpoint Security scant standaard alleen op IOC's in belangrijke delen van de computer, zoals de map Downloads, het bureaublad, de map met tijdelijke besturingssysteembestanden, enz. U kunt het scanbereik ook handmatig toevoegen.

    • Windows event log - EventLogItem. Voer de periode in wanneer de gebeurtenissen zijn geregistreerd. U kunt ook Windows-gebeurtenislogboeken voor de IOC-scans selecteren: het logboek voor programmagebeurtenissen, het logboek voor systeemgebeurtenissen en het logboek voor beveiligingsgebeurtenissen.

    Voor het gegevenstype Windows registry - RegistryItem scant Kaspersky Endpoint Security een reeks registersleutels.

14. Klik op de knop Save.
15. Schakel het selectievakje naast de taak in.
16. Klik op de knop Run.

Kaspersky Endpoint Security begint nu te zoeken naar Indicators of Compromise op de computer. U kunt de resultaten van de taak bekijken in de taakeigenschappen in het gedeelte Results. U kunt informatie over gedetecteerde Indicators of Compromise bekijken in de taakeigenschappen: Application settings → IOC Scan Results.

De resultaten van een IOC-scan worden 30 dagen bewaard. Na die tijd worden de oudste gegevens automatisch verwijderd door Kaspersky Endpoint Security.