Настройка Поиска IOC на поиск потенциальных угроз

Поиск IOC позволяет настроить регулярный поиск индикаторов компрометации (IOC) на устройствах и выполнение автоматических действий по реагированию при обнаружении IOC.

Вы можете настроить параметры трех типов Поиска IOC:

• Превентивный поиск

  Если вы выяснили (например, узнали в интернете), что определенная угроза характеризуется набором индикаторов компрометации, вы можете добавить их в настраиваемый поиск IOC, чтобы проверить устройства пользователей.

  Область проверки – все устройства пользователей с операционной системой Windows. Ее нельзя изменить. Все новые устройства, добавляемые в дальнейшем, будут автоматически включены в область проверки.

• Реактивный поиск

  Если Kaspersky Endpoint Security Cloud обнаружит угрозу на одном из пользовательских устройств, вы можете добавить индикаторы этой угрозы в настраиваемый поиск IOC, чтобы проверить другие устройства.

  Область проверки – все устройства пользователей с операционной системой Windows. Ее нельзя изменить. Все новые устройства, добавляемые в дальнейшем, будут автоматически включены в область проверки.

• Пользовательский поиск

  В этот поиск IOC можно добавить любую угрозу, чтобы проверить устройства пользователей.

  Область проверки – произвольная выборка устройств пользователей с операционной системой Windows. Все новые устройства, добавляемые в дальнейшем, будут автоматически включены в область проверки.

Позже, при анализе обнаружений Endpoint Protection Platform (EPP) на устройствах пользователей, вы можете добавить найденные индикаторы компрометации в параметры проверки с типом Реактивный поиск, чтобы проверять другие устройства на наличие той же угрозы.

Чтобы настроить поиск IOC, выполните следующие действия:

1. Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
2. Выберите раздел Управление безопасностью → Endpoint Detection and Response.
3. Нажмите на кнопку Поиск IOC.
4. В открывшемся окне Поиск IOC задайте параметры поиска IOC.
5. Нажмите на кнопку Закрыть, чтобы закрыть окно Поиск IOC.

Поиск IOC настроен.

Добавление угрозы в поиск IOC

При настройке регулярной проверки наличия угроз на устройствах или после обнаружения угрозы на одном из устройств пользователей, можно добавить угрозу в поиск IOC, чтобы выполнялась проверка других устройства на наличие этой угрозы.

Для каждого Поиска IOC можно добавить не более 200 угроз.

Чтобы добавить угрозу в поиск IOC, выполните следующие действия:

1. Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
2. Выберите раздел Управление безопасностью → Endpoint Detection and Response.
3. Нажмите на кнопку Поиск IOC.
4. Добавьте угрозу одним из следующих способов:
   • Чтобы добавить угрозу в Превентивный поиск, нажмите на кнопку Добавить угрозу.
   • Чтобы добавить угрозу для любого типа проверки, нажмите на соответствующую ссылку Просмотр, а затем нажмите на кнопку Добавить.

   Откроется окно Добавить угрозу.

5. Введите имя угрозы.
6. При необходимости введите описание угрозы.
7. В разделе Индикаторы компрометации (IOC) укажите индикаторы компрометации для этой угрозы:
   1. Чтобы указать несколько индикаторов компрометации, в списке Критерии обнаружения выберите критерии обнаружения (логический оператор):
      • Совпадение с ЛЮБЫМ из следующих, чтобы обнаружение возникало, если на устройстве найден хотя бы один индикатор компрометации (логический оператор ИЛИ).
      • Совпадение со ВСЕМИ следующими, чтобы обнаружение возникало, если на устройстве найдены одновременно все индикаторы компрометации (логический оператор И).
   2. В разделе Индикатор 1 выберите тип индикатора компрометации и укажите его значение.

      При добавлении раздела реестра в качестве IOC начните с куста реестра (например, HKEY_LOCAL_MACHINE\Software\Microsoft).
      При добавлении раздела реестра в качестве IOC Kaspersky Endpoint Security для Windows проверяет только отдельные разделы реестра.

   3. Чтобы добавить к угрозе больше индикаторов компрометации, нажмите + Добавить индикатор, а затем укажите следующий индикатор компрометации.

      Для каждой угрозы можно добавить не более 100 индикаторов компрометации.

8. Нажмите Сохранить, чтобы сохранить изменения.

Угроза будет добавлена к выбранному Поиску IOC.

Область поиска IOC в реестре

При проверке реестра на наличие угроз Kaspersky Endpoint Security для Windows проверяет только наиболее уязвимые для атак разделы реестра.

При добавлении раздела реестра в качестве IOC Kaspersky Endpoint Security Cloud проверяет введенное значение и принимает только те разделы, которые начинаются со следующих значений:

HKEY_CLASSES_ROOT\htafile

HKEY_CLASSES_ROOT\batfile

HKEY_CLASSES_ROOT\exefile

HKEY_CLASSES_ROOT\comfile

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print\Monitors

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\NetworkProvider

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

HKEY_LOCAL_MACHINE\Software\Classes\piffile

HKEY_LOCAL_MACHINE\Software\Classes\htafile

HKEY_LOCAL_MACHINE\Software\Classes\exefile

HKEY_LOCAL_MACHINE\Software\Classes\comfile

HKEY_LOCAL_MACHINE\Software\Classes\CLSID

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Aedebug

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Настройка параметров Поиска IOC

При настройке регулярной проверки устройств на наличие угроз можно задать следующие параметры: расписание, область и автоматические действия по реагированию.

Чтобы настроить параметры Поиска IOC, выполните следующие действия:

1. Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
2. Выберите раздел Управление безопасностью → Endpoint Detection and Response.
3. Нажмите на кнопку Поиск IOC.
4. Рядом с требуемым типом поиска наведите указатель на три точки по вертикали и выберите пункт Настроить параметры проверки.

   Откроется окно Параметры проверки.

5. В списке Расписание выберите требуемое значение:
   • Не указано (по умолчанию)

     Поиск IOC не выполняется.

   • Каждый день

     Поиск IOC запускаться не будет.

   • Каждую неделю

     Укажите день недели и время запуска Поиска IOC.

   Пользовательский поиск будет проводиться в указанное время в часовом поясе UTC±00:00. Превентивный поиск и Реактивный поиск будут запускаться в указанное время в часовом поясе операционной системы устройства. Если защищаемое устройство не подключено к сети в указанное время, задача будет запущена, как только устройство подключится к сети.

6. В разделе Область проверки перейдите по ссылке Редактировать и укажите список устройств, на которых будет выполняться поиск индикаторов компрометации.

   Установите флажки рядом с устройствами, которые нужно добавить, и снимите флажки рядом с устройствами, которые нужно исключить. Нажмите Сохранить, чтобы сохранить изменения.

   Этот параметр доступен только для проверки с типом Пользовательский поиск. Областью действия для других типов поиска (Превентивный поиск и Реактивный поиск) являются все устройства пользователей с операционной системой Windows. Ее нельзя изменить.

   Все новые устройства, добавляемые в дальнейшем, будут автоматически включены в область проверки. Поэтому их можно исключить из области пользовательской проверки только вручную.

7. В разделе Меры реагирования выберите действия, которые будут выполняться при обнаружении указанных угроз:
   • Только обнаруживать

     Событие обнаружения угрозы добавляется в журнал событий. Никаких других действий не выполняется.

   • Обнаруживать и уведомлять

     Событие обнаружения угрозы добавляется в журнал событий. Дополнительно выполняются выбранные действия по реагированию:

     • Запустить проверку важных областей

       Kaspersky Endpoint Security для Windows проверяет память ядра, запущенные процессы и загрузочные сектора диска затронутого устройства.

     • Поместить копию объекта в карантин и удалить объект

       Kaspersky Endpoint Security для Windows сначала создает резервную копию вредоносного объекта, обнаруженного на устройстве, на случай, если впоследствии объект потребуется восстановить. Резервная копия перемещается в карантин. Затем Kaspersky Endpoint Security для Windows удаляет объект.

     • Изолировать устройство от сети

       Kaspersky Endpoint Security для Windows изолирует устройство от сети, чтобы предотвратить распространение угрозы или утечку конфиденциальной информации. Чтобы настроить продолжительность изоляции, нажмите на кнопку Параметры и выберите необходимое значение.

       Длительность изоляции является общей для всех трех типов поиска индикаторов компрометации. При изменении значения в параметрах одного типа поиска, оно распространится на остальные.
       В качестве альтернативы можно настроить продолжительность изоляции, выбрав раздел Управление безопасностью → Endpoint Detection and Response, а затем выбрав Параметры реагирования → Сетевая изоляция.

8. Нажмите Сохранить, чтобы сохранить изменения.

Параметры выбранного Поиска IOC настроены.

Восстановление заданных по умолчанию параметров Поиска IOC

При необходимости можно восстановить значения по умолчанию для параметров любого регулярного поиска угроз. Вы можете восстановить расписание поиска, область поиска и действия по реагированию. Набор угроз для поиска не изменится.

Чтобы восстановить заданные по умолчанию параметры Поиска IOC, выполните следующие действия:

1. Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
2. Выберите раздел Управление безопасностью → Endpoint Detection and Response.
3. Нажмите на кнопку Поиск IOC.
4. Рядом с требуемым типом поиска наведите указатель на три точки по вертикали и выберите пункт Вернуть значения по умолчанию.
5. В открывшемся окне Вернуть значения по умолчанию нажмите на кнопку Подтвердить, чтобы подтвердить выполняемое действие.

Для выбранного типа поиска индикаторов компрометации будут восстановлены заданные по умолчанию параметры.