Поддержка

Поддержка приложений для бизнеса

Kaspersky Industrial CyberSecurity for Networks

Решение типовых задач

Мониторинг событий и инцидентов

Экспорт данных о событиях активности в файл индикаторов компрометации

Kaspersky Industrial CyberSecurity for Networks
Нет результатов
Онлайн-справка
FAQ Скачать Форум Запрос в поддержку Утилиты для лечения Видео о продуктах

Экспорт данных о событиях активности в файл индикаторов компрометации

22 марта 2024

ID 264581

Скачать PDF

При просмотре сведений об инцидентах EDR вы можете экспортировать в IOC-файл данные о событиях активности, если вы хотите обнаружить возникновение таких событий активности при следующих проверках EPP-приложений. Полученный IOC-файл вы можете использовать в задачах поиска IOC, выполняемых с помощью Kaspersky Endpoint Agent.

Чтобы экспортировать данные о событиях активности в IOC-файл:

  1. В разделе События на вкладке События и инциденты выберите событие, которое является инцидентом EDR (событие отмечено значком EDR) и содержит цепочку развития угрозы с нужными событиями активности.

    В правой части окна веб-интерфейса появится область деталей.

  2. В области деталей перейдите на вкладку Все события активности и выберите нужные события активности.

    Вы можете выбрать события активности с типами Создание файла, Запуск процесса или Изменение в реестре.

  3. Нажмите на кнопку Экспорт в IOC-файл.
  4. В открывшемся окне выберите условие для обнаружения индикаторов компрометации:
    • ИЛИ (любой IOC обнаружен) – если вы хотите, чтобы в задаче поиска IOC происходило срабатывание при обнаружении любого индикатора компрометации из IOC-файла.
    • И (все IOC обнаружены) – если вы хотите, чтобы в задаче поиска IOC происходило срабатывание при обнаружении всех индикаторов компрометации из IOC-файла.
  5. Просмотрите сведения, которые будут экспортированы в IOC-файл.

    Экспорт возможен только при ненулевых значениях счетчиков, отображаемых для любого из параметров Создание файла, Запуск процесса и Изменение в реестре. Параметр Неэкспортируемые содержит количество выбранных событий активности, данные о которых невозможно экспортировать в IOC-файл.

  6. Нажмите на кнопку Экспортировать.
  7. Если формирование файла занимает длительное время (более 15 секунд), операция по формированию файла переводится в список фоновых операций. В этом случае для загрузки файла выполните следующие действия:
    1. Нажмите на кнопку Пиктограмма в виде стрелки, направленной в лоток. в меню веб-интерфейса программы.

      Откроется список фоновых операций.

    2. Дождитесь завершения операции формирования файла.
    3. Нажмите на кнопку Скачать файл.

Браузер сохранит загруженный файл. В зависимости от параметров, заданных в браузере, на экране может появиться окно для изменения пути и имени сохраняемого файла.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!