Kaspersky Endpoint Security Cloud
Русский

Содержание

Добавление угрозы в поиск IOC

При настройке регулярной проверки наличия угроз на устройствах или после обнаружения угрозы на одном из устройств пользователей, можно добавить угрозу в поиск IOC, чтобы выполнялась проверка других устройства на наличие этой угрозы.

Для каждого Поиска IOC можно добавить не более 200 угроз.

Чтобы добавить угрозу в поиск IOC, выполните следующие действия:

  1. Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
  2. Выберите раздел Управление безопасностьюEndpoint Detection and Response.
  3. Нажмите на кнопку Поиск IOC.
  4. Добавьте угрозу одним из следующих способов:
    • Чтобы добавить угрозу в Превентивный поиск, нажмите на кнопку Добавить угрозу.
    • Чтобы добавить угрозу для любого типа проверки, нажмите на соответствующую ссылку Просмотр, а затем нажмите на кнопку Добавить.

    Откроется окно Добавить угрозу.

  5. Введите имя угрозы.
  6. При необходимости введите описание угрозы.
  7. В разделе Индикаторы компрометации (IOC) укажите индикаторы компрометации для этой угрозы:
    1. Чтобы указать несколько индикаторов компрометации, в списке Критерии обнаружения выберите критерии обнаружения (логический оператор):
      • Совпадение с ЛЮБЫМ из следующих, чтобы обнаружение возникало, если на устройстве найден хотя бы один индикатор компрометации (логический оператор ИЛИ).
      • Совпадение со ВСЕМИ следующими, чтобы обнаружение возникало, если на устройстве найдены одновременно все индикаторы компрометации (логический оператор И).
    2. В разделе Индикатор 1 выберите тип индикатора компрометации и укажите его значение.

      При добавлении раздела реестра в качестве IOC начните с куста реестра (например, HKEY_LOCAL_MACHINE\Software\Microsoft).
      При добавлении раздела реестра в качестве IOC Kaspersky Endpoint Security для Windows проверяет только отдельные разделы реестра.

    3. Чтобы добавить к угрозе больше индикаторов компрометации, нажмите + Добавить индикатор, а затем укажите следующий индикатор компрометации.

      Для каждой угрозы можно добавить не более 100 индикаторов компрометации.

  8. Нажмите Сохранить, чтобы сохранить изменения.

Угроза будет добавлена к выбранному Поиску IOC.

В начало
[Topic 231840]