Поддержка

Поддержка приложений для бизнеса

Kaspersky Endpoint Detection and Response Expert

Обнаружения

Типы обнаружений

Kaspersky Endpoint Detection and Response Expert
Онлайн-справка
Советы и решения FAQ Скачать Форум Запрос в поддержку Утилиты для лечения Видео о продуктах

Типы обнаружений

07 сентября 2023

ID 227031

Все обнаружения делятся на следующие типы:

  • IOC – индикаторы компрометации

    Обнаружения этого типа регистрируется в результате выполнения задачи Поиск IOC на защищенном устройстве. Если при срабатывании правила IOC определяется, что событие является обнаружением, Kaspersky EDR Expert создает новое обнаружение IOC. Созданные обнаружения IOC представляют текущее состояние устройства на момент запуска задачи Поиск IOC. Вы можете создавать собственные правила IOC.

    Обнаружение IOC всегда соответствует одному правилу IOC, сработавшему в ИТ-инфраструктуре. Если в результате выполнения задачи Поиск IOC срабатывает несколько правил IOC, Kaspersky EDR Expert создает отдельное обнаружение IOC для каждого сработавшего правила IOC.

    Обнаружение IOC всегда соответствует одному устройству. Если одно и то же правило IOC сработало на нескольких устройствах, Kaspersky EDR Expert создает отдельное обнаружение IOC для каждого устройства.

  • IOA – индикаторы атак

    Обнаружения данного типа регистрируются в результате анализа потока данных телеметрии с защищаемых устройств. Если при срабатывании правила IOA определяется, что событие является обнаружением, Kaspersky EDR Expert создает новое обнаружение IOA. Поскольку выполняется постоянный анализ потока данных телеметрии, созданные обнаружения IOA представляют текущую активность на защищенных устройствах. Правила IOA задаются специалистами "Лаборатории Касперского". Кроме того, вы можете создавать собственные правила IOA.

    Обнаружение IOA всегда соответствует одному устройству. Если одно и то же правило IOA сработало на нескольких устройствах, Kaspersky EDR Expert создает отдельное обнаружение IOA для каждого устройства.

    Kaspersky EDR Expert анализирует события с интервалом в 15 минут. Если в течение 15-минутного интервала срабатывает хотя бы одно правило IOA, Kaspersky EDR Expert создает обнаружение IOA. Если в течение 15-минутного интервала на одном устройстве срабатывает несколько правил IOA (как стандартных, так и пользовательских), созданное обнаружение IOA объединяет все события обнаружений и сработавшие правила.

    Kaspersky EDR Expert не создает обнаружение IOA, если идентичное обнаружение уже было зарегистрировано на том же устройстве в течение последних 24 часов. Два обнаружения IOA считаются идентичными, если для них совпадают следующие свойства:

    • Сработавшие правила IOA.
    • Все хеши MD5, полученные из событий, связанных с обнаружением.
    • Наблюдаемые значения для данных с типом IP-адрес и домен.

См. также:

Об обнаружениях

Просмотр таблицы обнаружений

Просмотр информации об обнаружении

Назначение обнаружений аналитикам

Изменение статуса обнаружения

Связь обнаружений с инцидентами

Отмена связи обнаружений с инцидентами

Об инцидентах

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!