Kaspersky Anti Targeted Attack Platform
5.0
Русский

Содержание

[Topic 193604]

Создание локальной задачи

Локальные задачи – это задачи, которые выполняются на конкретном устройстве. Подробнее о задачах см. в документации Kaspersky Security Center.

Чтобы создать локальную задачу:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве Консоли администрирования откройте папку Управляемые устройства.
  3. В папке Управляемые устройства откройте папку с названием группы администрирования, в состав которой входит требуемое устройство.
  4. В рабочей области выберите закладку Устройства.
  5. Выберите устройство, для которого вы хотите создать локальную задачу.
  6. Выполните одно из следующих действий:
    • В контекстном меню устройства выберите пункт Все задачиСоздать задачу.
    • В контекстном меню устройства выберите пункт Свойства и в открывшемся окне Свойства: <Название устройства> на закладке Задачи нажмите на кнопку Добавить.
    • В раскрывающемся списке Выполнить действие выберите элемент Создать задачу.

    Запустится мастер создания задачи.

  7. Выберите нужную задачу и нажмите Далее.
  8. Следуйте указаниям мастера создания задачи.

См. также

Создание групповой задачи

Просмотр списка задач

Удаление задач из списка

Запуск задач вручную

Запуск задач по расписанию

Просмотр результатов выполнения задач

Изменение срока хранения результатов выполнения задач на Сервере администрирования

Создание задачи активации Kaspersky Endpoint Agent

Управление задачами обновления баз и модулей Kaspersky Endpoint Agent

Управление задачами поиска IOC в Kaspersky Endpoint Agent
В начало
[Topic 194322]

Создание групповой задачи

Групповые задачи - это задачи, которые выполняются на устройствах выбранной группы администрирования. Подробнее о задачах см. в документации Kaspersky Security Center.

Чтобы создать групповую задачу:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. Выполните одно из следующих действий:
    • Выберите папку Управляемые устройства дерева Консоли администрирования, если вы хотите создать групповую задачу для всех устройств, управляемых с помощью программы Kaspersky Security Center.
    • В папке Управляемые устройства дерева Консоли администрирования выберите папку с названием группы администрирования, в состав которой входят требуемые устройства.
  3. В рабочей области выберите закладку Задачи.
  4. Нажмите на кнопку Новая задача.

    Запустится мастер создания задачи.

  5. Выберите нужную задачу и нажмите Далее.
  6. Следуйте указаниям мастера создания задачи.

См. также

Создание локальной задачи

Просмотр списка задач

Удаление задач из списка

Запуск задач вручную

Запуск задач по расписанию

Просмотр результатов выполнения задач

Изменение срока хранения результатов выполнения задач на Сервере администрирования

Создание задачи активации Kaspersky Endpoint Agent

Управление задачами обновления баз и модулей Kaspersky Endpoint Agent

Управление задачами поиска IOC в Kaspersky Endpoint Agent
В начало
[Topic 194323][Topic 193074]

Удаление задач из списка

Чтобы удалить задачи из списка задач на сервере Kaspersky Security Center:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве Консоли администрирования откройте папку Задачи.
  3. В списке задач выберите задачи, которые вы хотите удалить, и правой клавишей мыши откройте контекстное меню.

    Отобразится список действий, которые можно выполнить над задачами.

  4. Выберите действие Удалить.

    Откроется окно подтверждения действия.

  5. Нажмите на кнопку Да.

Выбранные задачи будут удалены из списка.

См. также

Создание локальной задачи

Создание групповой задачи

Просмотр списка задач

Запуск задач вручную

Запуск задач по расписанию

Просмотр результатов выполнения задач

Изменение срока хранения результатов выполнения задач на Сервере администрирования

Создание задачи активации Kaspersky Endpoint Agent

Управление задачами обновления баз и модулей Kaspersky Endpoint Agent

Управление задачами поиска IOC в Kaspersky Endpoint Agent
В начало
[Topic 193073]

Запуск задач вручную

Вы можете запускать созданные задачи вручную. Например, вручную можно запускать задачи, в которых не настроен запуск по расписанию.

Чтобы вручную запустить одну задачу:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве Консоли администрирования откройте папку Задачи.

    Отобразится список задач.

  3. В контекстном меню нужной задачи выберите действие Запустить.

Задача запустится.

См. также

Создание локальной задачи

Создание групповой задачи

Просмотр списка задач

Удаление задач из списка

Запуск задач по расписанию

Просмотр результатов выполнения задач

Изменение срока хранения результатов выполнения задач на Сервере администрирования

Создание задачи активации Kaspersky Endpoint Agent

Управление задачами обновления баз и модулей Kaspersky Endpoint Agent

Управление задачами поиска IOC в Kaspersky Endpoint Agent
В начало
[Topic 193072]

Запуск задач по расписанию

Развернуть всё | Свернуть всё

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы настроить запуск задачи по расписанию:

  1. В разделе Расписание запуска задач установите флажок Запускать по расписанию.
  2. В списке Периодичность выберите один из следующих вариантов запуска задачи по расписанию: В указанное время, Каждый час, Каждый день, Каждую неделю, При запуске программы или После обновления баз программы.
  3. Если вы выбрали запуск задачи В указанное время, в разделе Запускать по расписанию укажите время и дату запуска задачи.
  4. Если вы выбрали запуск задачи Каждый час, Каждый день или Каждую неделю, в разделе Запускать по расписанию настройте параметры запуска задачи:
    1. В списке Каждый выберите периодичность запуска задачи. Например, один раз в день или два раза в неделю, по вторникам и четвергам.
    2. В списках Время и Дата выберите время и дату начала действия расписания.
  5. Чтобы выполнить расширенную настройку расписания, нажмите на кнопку Дополнительно и настройте следующие параметры в окне Дополнительно:
    • Завершать задачи, выполняющиеся более

      Включите этот параметр, если вы хотите задать максимальное время ожидания выполнения задачи. Через указанное время задача будет автоматически завершаться.

    • Отменить расписание с

      Включите этот параметр, если вы хотите указать дату окончания действия расписания. После указанной даты расписание перестает действовать.

    • Запускать пропущенные задачи

      Включите этот параметр, если вы хотите, чтобы программа при первой возможности запускала задачи, не выполненные вовремя.

    • Запускать задачу каждые

      Включите этот параметр, если вы хотите избежать одновременного обращения большого количества рабочих станций к Серверу администрирования и запускать задачу на рабочих станциях не точно по расписанию, а случайным образом в течение указанного интервала времени.

  6. Нажмите на кнопку OK.

Запуск задач по расписанию настроен и применяется на устройствах.

В начало
[Topic 206053]

Просмотр результатов выполнения задач

Вы можете просмотреть результаты выполнения задач в течение срока их хранения. Вы также можете изменить срок хранения результатов выполнения задач.

Не рекомендуется сокращать срок хранения результатов выполнения задач поиска IOC.

Чтобы просмотреть результат выполнения задачи:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве Консоли администрирования откройте папку Задачи.

    Отобразится список задач.

  3. Выберите задачу в списке и правой клавишей мыши раскройте меню действий над задачами.
  4. В меню выберите пункт Результаты.

Откроется окно Результат выполнения задачи.

См. также

Создание локальной задачи

Создание групповой задачи

Просмотр списка задач

Удаление задач из списка

Запуск задач вручную

Запуск задач по расписанию

Изменение срока хранения результатов выполнения задач на Сервере администрирования

Создание задачи активации Kaspersky Endpoint Agent

Управление задачами обновления баз и модулей Kaspersky Endpoint Agent

Управление задачами поиска IOC в Kaspersky Endpoint Agent
В начало
[Topic 193071]

Изменение срока хранения результатов выполнения задач на Сервере администрирования

По умолчанию результаты выполнения задач хранятся на Сервере администрирования в течение семи дней.

Чтобы изменить срок хранения результатов выполнения задач на Сервере администрирования:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве Консоли администрирования откройте папку Задачи.

    Отобразится список задач.

  3. Выберите задачу в списке и правой клавишей мыши раскройте меню действий над задачами.
  4. Выберите пункт меню Свойства.

    Откроется окно свойств задачи.

  5. В левой части окна выберите раздел Уведомление.
  6. Убедитесь, что в разделе Сохранять информацию о результатах установлен флажок На Сервере администрирования в течение (сут) и укажите, в течение какого времени (в сутках) требуется хранить результат выполнения задачи.
  7. Нажмите на кнопку Применить, а затем на кнопку OK.

Не рекомендуется сокращать срок хранения результатов выполнения задач поиска IOC.

См. также

Создание локальной задачи

Создание групповой задачи

Просмотр списка задач

Удаление задач из списка

Запуск задач вручную

Запуск задач по расписанию

Просмотр результатов выполнения задач

Создание задачи активации Kaspersky Endpoint Agent

Управление задачами обновления баз и модулей Kaspersky Endpoint Agent

Управление задачами поиска IOC в Kaspersky Endpoint Agent
В начало
[Topic 193070]

Создание задачи активации Kaspersky Endpoint Agent

Развернуть всё | Свернуть всё

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Вы можете активировать Kaspersky Endpoint Agent с помощью ключа или кода активации.

При активации с помощью кода активации данные отправляются на сервер активации для проверки введенного кода.

Для активации программы с помощью кода активации защищаемое устройство должно быть подключено к интернету.

Чтобы создать задачу активации Kaspersky Endpoint Agent:

  1. Запустите мастер создания задачи Активация программы для нужной области действия одним из следующих способов:
    • Запустите мастер создания локальной задачи.
    • Запустите мастер создания групповой задачи.

      Групповые задачи - это задачи, которые выполняются на устройствах выбранной группы администрирования. Подробнее о задачах см. в документации Kaspersky Security Center.

      Чтобы создать групповую задачу:

      1. Откройте Консоль администрирования Kaspersky Security Center.
      2. Выполните одно из следующих действий:
        • Выберите папку Управляемые устройства дерева Консоли администрирования, если вы хотите создать групповую задачу для всех устройств, управляемых с помощью программы Kaspersky Security Center.
        • В папке Управляемые устройства дерева Консоли администрирования выберите папку с названием группы администрирования, в состав которой входят требуемые устройства.
      3. В рабочей области выберите закладку Задачи.
      4. Нажмите на кнопку Новая задача.

        Запустится мастер создания задачи.

      5. Выберите нужную задачу и нажмите Далее.
      6. Следуйте указаниям мастера создания задачи.
  2. Если вы хотите активировать программу с помощью кода активации, выполните следующие действия в окне Параметры активации:
    1. Выберите Активировать при помощи кода активации и нажмите на кнопку Выбрать.
    2. В открывшемся окне введите код активации и нажмите ОК.
  3. Если вы хотите активировать программу с помощью файла ключа или ключа из хранилища ключей Kaspersky Security Center, выполните следующие действия в окне Параметры активации:
    1. Выберите Активировать при помощи файла ключа или ключа и нажмите на кнопку Выбрать.
    2. В раскрывающемся списке выберите нужный способ распространения ключа.
    3. Если вы выбрали Файл ключа из папки, в открывшемся окне укажите расположение файла ключа и нажмите на кнопку Открыть.
    4. Если вы выбрали Файл ключа из хранилища Kaspersky Security Center, в открывшемся окне выберите нужный ключ и нажмите ОК.

      Подробная информация о хранилище ключей Kaspersky Security Center приведена в документации Kaspersky Security Center.

  4. Если вы хотите добавить этот лицензионный ключ в качестве дополнительного для автоматического продления срока действия лицензии, установите флажок Использовать в качестве дополнительного ключа.
  5. Нажмите на кнопку Далее.
  6. В окне Расписание настройте параметры расписания запуска задачи и нажмите на кнопку Далее.

    Подробная информация о настройке параметров в этом окне приведена в документации Kaspersky Security Center.

  7. В окне Выбор учетной записи для запуска задачи укажите учетную запись, с правами которой будет выполняться задача, и нажмите на кнопку Далее.

    Подробная информация о настройке параметров в этом окне приведена в документации Kaspersky Security Center.

  8. В окне Определение названия задачи задайте имя задачи и нажмите на кнопку Далее.
  9. Если вы хотите, чтобы задача запустилась сразу после завершения работы мастера создания задачи, установите флажок Запустить задачу после завершения работы мастера.
  10. Нажмите на кнопку Завершить.

Будет создана новая задача активации программы для выбранного устройства или группы устройств.

См. также

Создание локальной задачи

Создание групповой задачи

Просмотр списка задач

Удаление задач из списка

Запуск задач вручную

Запуск задач по расписанию

Просмотр результатов выполнения задач

Изменение срока хранения результатов выполнения задач на Сервере администрирования

Управление задачами обновления баз и модулей Kaspersky Endpoint Agent

Управление задачами поиска IOC в Kaspersky Endpoint Agent
В начало
[Topic 197539]

Управление задачами обновления баз и модулей Kaspersky Endpoint Agent

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

В этом разделе приведены инструкции, как создать и настроить задачу обновления баз и модулей программы.

См. также

Создание локальной задачи

Создание групповой задачи

Просмотр списка задач

Удаление задач из списка

Запуск задач вручную

Запуск задач по расписанию

Просмотр результатов выполнения задач

Изменение срока хранения результатов выполнения задач на Сервере администрирования

Создание задачи активации Kaspersky Endpoint Agent

Управление задачами поиска IOC в Kaspersky Endpoint Agent

В этом разделе

Создание задачи обновления баз и модулей программы

Настройка параметров задачи обновления баз и модулей программы
В начало
[Topic 193069]

Создание задачи обновления баз и модулей программы

Развернуть всё | Свернуть всё

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы создать задачу обновления баз и модулей программы Kaspersky Endpoint Agent в Kaspersky Security Center:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве Консоли администрирования откройте папку Задачи.
  3. Нажмите на кнопку Новая задача.

    Запустится мастер создания задачи.

  4. Выберите программу, для которой будет создана задача – Kaspersky Endpoint Agent, и тип задачи Обновление баз и модулей программы.
  5. Нажмите на кнопку Далее.

    Запустится мастер создания задачи обновления баз.

Мастер создания задачи обновления баз состоит из следующих шагов:

  1. Выбор источника обновления баз

    Выполните следующие действия:

    1. В блоке Источник обновлений баз выберите один из следующих источников обновления баз:
      • Сервер администрирования Kaspersky Security Center.
      • Серверы обновлений "Лаборатории Касперского".
      • Другие HTTP-, FTP-серверы или сетевые папки.
    2. Если вы хотите включить параметр Использовать серверы обновлений "Лаборатории Касперского", если указанные пользователем серверы недоступны, установите флажок слева от названия параметра.
    3. Если вы выбрали источник обновления баз Серверы обновлений "Лаборатории Касперского" и хотите использовать прокси-сервер для обновления баз, в блоке Параметры соединения с источниками обновлений установите флажок Использовать параметры прокси-сервера для соединения с серверами обновлений "Лаборатории Касперского".
    4. Если вы выбрали источник обновления баз Другие HTTP-, FTP-серверы или сетевые папки, выполните следующие действия:
      1. Нажмите на ссылку Другие HTTP-, FTP-серверы или сетевые папки.
      2. Добавьте серверы обновлений в список:
        1. Нажмите на кнопку Серверы обновлений.
        2. В добавленной строке введите адрес сервера обновлений (HTTP или FTP), либо путь к сетевой или локальной папке, содержащей файлы обновлений.
        3. Если вы хотите использовать этот сервер для обновления баз, установите флажок рядом с его адресом. Вы также можете добавить в список серверы и снять флажки рядом с адресами серверов, которые вы не хотите использовать сейчас, а планируете использовать в будущем.

          Выполняйте аналогичные действия по добавлению каждого сервера.

        4. Нажмите на кнопку OK.
        5. Окно Серверы обновлений закроется.
      3. Если вы хотите использовать прокси-сервер для соединения с серверами обновлений, в блоке Параметры соединения с источниками обновлений установите флажок Использовать параметры прокси-сервера для соединения с другими серверами.

  2. Настройка параметров обновления модулей программы

    Выполните следующие действия:

    1. В блоке Параметры обновления выберите, при каких условиях программа будет проверять доступность обновлений модулей программы:
      • Не проверять доступность обновлений. Kaspersky Endpoint Agent не будет проверять доступность обновлений модулей программы.
      • Только проверять наличие важных обновлений модулей программы. Kaspersky Endpoint Agent будет проверять доступность только важных обновлений модулей программы.
      • Загружать и устанавливать критические обновления модулей программы. Kaspersky Endpoint Agent будет проверять доступность обновлений модулей программы и будет загружать и устанавливать критические обновления модулей программы.
    2. Если вы хотите, чтобы программа отображала уведомление обо всех плановых обновлениях программных модулей, имеющихся в источнике обновлений, установите флажок Получать информацию о доступных запланированных обновлениях модулей программы.
  3. Настройка расписания обновления баз

    Выполните следующие действия:

    1. В разделе Расписание запуска задач установите флажок Запускать по расписанию.
    2. В списке Периодичность выберите один из следующих вариантов запуска задачи по расписанию: В указанное время, Каждый час, Каждый день, Каждую неделю, При запуске программы или После обновления баз программы.
    3. Если вы выбрали запуск задачи обновления баз В указанное время, в разделе Запускать по расписанию укажите время и дату запуска задачи.
    4. Если вы выбрали запуск задачи обновления баз Каждый час, Каждый день или Каждую неделю, в разделе Запускать по расписанию настройте параметры запуска задачи:
      1. В списке Каждый выберите периодичность запуска задачи. Например, 1 раз в день или 2 раза в неделю по вторникам и четвергам.
      2. В списках Время и Дата выберите время и дату начала действия расписания.
    5. Чтобы выполнить расширенную настройку расписания, нажмите на кнопку Дополнительно и выполните следующие действия в окне Дополнительно:
      1. Если вы хотите задать максимальное время ожидания выполнения задачи обновления баз, установите флажок Завершать задачи, выполняющиеся более и укажите, через сколько часов и минут задача будет автоматически завершаться.
      2. Если вы хотите, чтобы расписание запуска задачи обновления баз действовало до определенной даты, установите флажок Отменить расписание с и укажите дату окончания действия расписания.
      3. Если вы хотите, чтобы программа при первой возможности запускала задачи обновления баз, не выполненные вовремя, установите флажок Запускать пропущенные задачи.
      4. Если вы хотите избежать одновременного обращения большого количества рабочих станций к Серверу администрирования и запускать задачу на рабочих станциях не точно по расписанию, а случайным образом в течение определенного интервала времени, установите флажок Запускать задачу каждые и задайте интервал запуска в минутах.
      5. Нажмите на кнопку OK.

  4. Выбор устройств, на которых будет выполняться задача

    В открывшемся окне выбора устройств выберите устройства, на который вы хотите назначить задачу и нажмите на кнопку Далее.

    Например, вы можете выбрать вариант Назначить задачу группе администрирования и выбрать группу администрирования из списка.

  5. Выбор учетной записи пользователя Kaspersky Security Center, с правами которой будет выполняться задача

    В окне Выбор учетной записи для запуска задачи выполните одно из следующих действий:

    • Выберите учетную запись по умолчанию и нажмите на кнопку Далее.
    • Введите имя и пароль пользователя, под учетной записью которого вы хотите выполнять задачу и нажмите на кнопку Далее.

  6. Указание названия задачи

    В окне Определение название задачи в поле Имя введите название задачи и нажмите на кнопку Далее.

  7. Запуск задачи сразу после создания

    Если вы хотите, чтобы задача запустилась сразу после создания, установите флажок Запустить задачу после завершения работы мастера и нажмите на кнопку Готово.

См. также

Настройка параметров задачи обновления баз и модулей программы
В начало
[Topic 193068]

Настройка параметров задачи обновления баз и модулей программы

Развернуть всё | Свернуть всё

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

После создания задачи обновления баз и модулей программы вы можете настроить параметры этой задачи.

Чтобы изменить параметры задачи:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве Консоли администрирования откройте папку Задачи.

    Отобразится список задач.

  3. В разделе Обновление баз и модулей программы выберите задачу в списке и правой клавишей мыши раскройте меню действий над задачами.
  4. Выберите пункт меню Свойства.

    Откроется окно свойств задачи.

  5. В левой части окна выберите раздел параметров, которые вы хотите настроить.
  6. В правой части окна внесите необходимые изменения и нажмите на кнопки Применить и OK.

Вы можете настроить следующие параметры задачи:

  • Название задачи

    Выполните следующие действия:

    1. Выберите раздел Общие.
    2. Измените имя задачи в верхней строке.

  • Устройства, на которых будет выполняться задача

    В правой части окна отображаются текущие устройства, на которые назначена задача. Если вы хотите добавить устройства, выполните следующие действия:

    1. Нажмите на кнопку Добавить.

      Откроется окно со списком управляемых устройств.

    2. Установите флажки рядом с теми устройствами, которые вы хотите добавить.
    3. Если вы хотите добавить устройства, которых нет в списке, нажмите на кнопку Добавить в правой части окна и выполните действия по добавлению устройств.

      Например, вы можете задать адреса устройств вручную или импортировать их из списка

      Вы можете задавать NetBIOS-имена, DNS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым вы хотите назначить задачу.

    Подробнее о работе с управляемыми устройствами см. в Справке Kaspersky Security Center.

  • Источник обновления баз

    Выполните следующие действия:

    1. В блоке Источник обновлений баз выберите один из следующих источников обновления баз:
      • Сервер администрирования Kaspersky Security Center.
      • Серверы обновлений "Лаборатории Касперского".
      • Другие HTTP-, FTP-серверы или сетевые папки.
    2. Если вы хотите включить параметр Использовать серверы обновлений "Лаборатории Касперского", если указанные пользователем серверы недоступны, установите флажок слева от названия параметра.
    3. Если вы выбрали источник обновления баз Серверы обновлений "Лаборатории Касперского" и хотите использовать прокси-сервер для обновления баз, в блоке Параметры соединения с источниками обновлений установите флажок Использовать параметры прокси-сервера для соединения с серверами обновлений "Лаборатории Касперского".
    4. Если вы выбрали источник обновления баз Другие HTTP-, FTP-серверы или сетевые папки, выполните следующие действия:
      1. Нажмите на ссылку Другие HTTP-, FTP-серверы или сетевые папки.
      2. Добавьте серверы обновлений в список:
        1. Нажмите на кнопку Серверы обновлений.
        2. В добавленной строке введите адрес сервера обновлений (HTTP или FTP), либо путь к сетевой или локальной папке, содержащей файлы обновлений.
        3. Если вы хотите использовать этот сервер для обновления баз, установите флажок рядом с его адресом. Вы также можете добавить в список серверы и снять флажки рядом с адресами серверов, которые вы не хотите использовать сейчас, а планируете использовать в будущем.

          Выполняйте аналогичные действия по добавлению каждого сервера.

        4. Нажмите на кнопку OK.
        5. Окно Серверы обновлений закроется.
      3. Если вы хотите использовать прокси-сервер для соединения с серверами обновлений, в блоке Параметры соединения с источниками обновлений установите флажок Использовать параметры прокси-сервера для соединения с другими серверами.

  • Настройка дополнительных параметров обновления баз

    Выполните следующие действия:

    1. В блоке Параметры обновления выберите, при каких условиях программа будет проверять доступность обновлений модулей программы:
      • Не проверять доступность обновлений. Kaspersky Endpoint Agent не будет проверять доступность обновлений модулей программы.
      • Только проверять наличие важных обновлений модулей программы. Kaspersky Endpoint Agent будет проверять доступность только важных обновлений модулей программы.
      • Загружать и устанавливать критические обновления модулей программы. Kaspersky Endpoint Agent будет проверять доступность обновлений модулей программы и будет загружать и устанавливать критические обновления модулей программы.
    2. Если вы хотите, чтобы программа отображала уведомление обо всех плановых обновлениях программных модулей, имеющихся в источнике обновлений, установите флажок Получать информацию о доступных запланированных обновлениях модулей программы.
  • Расписание обновления баз

    Выполните следующие действия:

    1. В разделе Расписание запуска задач установите флажок Запускать по расписанию.
    2. В списке Периодичность выберите один из следующих вариантов запуска задачи по расписанию: В указанное время, Каждый час, Каждый день, Каждую неделю, При запуске программы или После обновления баз программы.
    3. Если вы выбрали запуск задачи обновления баз В указанное время, в разделе Запускать по расписанию укажите время и дату запуска задачи.
    4. Если вы выбрали запуск задачи обновления баз Каждый час, Каждый день или Каждую неделю, в разделе Запускать по расписанию настройте параметры запуска задачи:
      1. В списке Каждый выберите периодичность запуска задачи. Например, 1 раз в день или 2 раза в неделю по вторникам и четвергам.
      2. В списках Время и Дата выберите время и дату начала действия расписания.
    5. Чтобы выполнить расширенную настройку расписания, нажмите на кнопку Дополнительно и выполните следующие действия в окне Дополнительно:
      1. Если вы хотите задать максимальное время ожидания выполнения задачи обновления баз, установите флажок Завершать задачи, выполняющиеся более и укажите, через сколько часов и минут задача будет автоматически завершаться.
      2. Если вы хотите, чтобы расписание запуска задачи обновления баз действовало до определенной даты, установите флажок Отменить расписание с и укажите дату окончания действия расписания.
      3. Если вы хотите, чтобы программа при первой возможности запускала задачи обновления баз, не выполненные вовремя, установите флажок Запускать пропущенные задачи.
      4. Если вы хотите избежать одновременного обращения большого количества рабочих станций к Серверу администрирования и запускать задачу на рабочих станциях не точно по расписанию, а случайным образом в течение определенного интервала времени, установите флажок Запускать задачу каждые и задайте интервал запуска в минутах.
      5. Нажмите на кнопку OK.

  • Учетную запись пользователя Kaspersky Security Center, с правами которой будет выполняться задача

    В окне Выбор учетной записи для запуска задачи выполните одно из следующих действий:

    • Выберите учетную запись по умолчанию и нажмите на кнопку Далее.
    • Введите имя и пароль пользователя, под учетной записью которого вы хотите выполнять задачу.

  • Срок хранения результатов выполнения задачи на Сервере администрирования

    Выполните следующие действия:

    1. Выберите раздел Уведомление.
    2. В блоке Сохранять информацию о результатах убедитесь, что флажок На Сервере администрирования в течение (сут) установлен и укажите, сколько суток вы хотите хранить результат выполнения задачи.

      По умолчанию результат выполнения задачи хранится на Сервере администрирования 7 дней.

См. также

Создание задачи обновления баз и модулей программы
В начало
[Topic 193067]

Управление задачами поиска IOC в Kaspersky Endpoint Agent

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

В этом разделе приведены инструкции по управлению задачами поиска IOC в Kaspersky Endpoint Agent с помощью плагина управления Kaspersky Endpoint Agent.

В этом разделе справки

О задачах поиска IOC в Kaspersky Endpoint Agent

Управление задачами поиска IOC в Kaspersky Endpoint Agent

Управление стандартными задачами поиска IOC
В начало
[Topic 198723]

О задачах поиска IOC в Kaspersky Endpoint Agent

Задачи поиска IOC – это задачи, в ходе выполнения которых Kaspersky Endpoint Agent использует

IOC-файлы
(файлы
индикаторов компрометации
открытого стандарта описания
OpenIOC
) для поиска этих индикаторов на устройствах.

Kaspersky Endpoint Agent поддерживает следующие типы задач поиска IOC:

  • Стандартные задачи поиска IOC – групповые или локальные задачи, которые создаются и настраиваются вручную в Kaspersky Security Center или через интерфейс командной строки. Для запуска задач используются IOC-файлы, подготовленные пользователем.
  • Поиск IOC по IOC-файлам, загружаемым вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform – пользователи программы могут использовать IOC-файлы для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе событий и обнаружений, а также для проверки компьютеров с установленным компонентом Kaspersky Endpoint Agent.

Задачи отличаются возможностями управления, доступными для настройки параметрами, а также областью действия. Описание каждого типа задач поиска IOC приведено в следующей таблице.

Типы задач поиска IOC

Тип задач

Описание задач

Область действия задач

Стандартные задачи поиска IOC

Задачи создаются и настраиваются вручную в Kaspersky Security Center или через интерфейс командной строки, без интеграции со сторонними системами.

Для запуска задач используются IOC-файлы, подготовленные пользователем.

Параметры задач не зависят от настроек в параметрах политик.

Для задач доступен режим

Ретроспективный поиск IOC
.

Вы можете задать следующие действия по реагированию на найденные IOC (недоступно при запуске задач из командной строки):

  • Запуск на устройстве задач проверки по требованию при помощи EPP.
  • Включение сетевой изоляции устройства.

    Просмотр отчетов доступен как в результатах выполнения задач в виде сводной таблицы, так и в

    карточке обнаруженных IOC
    .

Локальные или групповые

Поиск IOC по IOC-файлам, загружаемым вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform

IOC-файлы загружаются вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform. Также есть возможность настроить расписание IOC-проверки компьютеров с программой Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.

Управление задачами с помощью Kaspersky Security Center или через командную строку не предусмотрено.

Автоматических действий при обнаружении IOC не предусмотрено.

Параметры задач не зависят от политик Kaspersky Endpoint Agent.

Не применимо

Результаты выполнения групповых задач поиска IOC доступны для просмотра в Kaspersky Security Center в течение семи дней с момента выполнения задачи или до момента удаления задачи.

В начало
[Topic 235158]

Управление задачами поиска IOC в Kaspersky Endpoint Agent

Вы можете управлять задачами поиска IOC через Kaspersky Security Center или через интерфейс командной строки Kaspersky Endpoint Agent, а также загружать IOC-файлы и настраивать расписание IOC-проверки через веб-интерфейс Kaspersky Anti Targeted Attack Platform. Описание каждого типа задач поиска IOC и информация о доступных возможностях управления задачами поиска IOC приведены в таблице ниже.

Управление задачами поиска IOC.

Тип задачи

С помощью Kaspersky Security Center

С помощью компонента Central Node

Через интерфейс командной строки

Стандартная задача поиска IOC

Управление не предусмотрено.

Задача поиска IOC, созданная в Central Node

Управление не предусмотрено.

Загрузка IOC-файлов, настройка расписания IOC-проверки.

Управление не предусмотрено.

В начало
[Topic 235159]

Управление стандартными задачами поиска IOC

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Стандартные задачи поиска IOC – групповые или локальные задачи, которые создаются и настраиваются вручную в Kaspersky Security Center или через интерфейс командной строки. Для запуска задач используются IOC-файлы, подготовленные пользователем.

В задаче поиска IOC можно указать только файл с IOC-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи поиска IOC.

В этом разделе приведены инструкции по управлению стандартными задачами поиска IOC.

См. также

О задачах поиска IOC в Kaspersky Endpoint Agent

Управление задачами поиска IOC в Kaspersky Endpoint Agent

В этом разделе справки

Требования к IOC-файлам

Поддерживаемые IOC-термины

Создание и настройка стандартной задачи поиска IOC

Настройка параметров стандартной задачи поиска IOC

Экспорт IOC-коллекции

Просмотр результатов выполнения задачи поиска IOC
В начало
[Topic 194312]

Требования к IOC-файлам

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

При создании задач Поиск IOC учитывайте следующие требования и ограничения, связанные с IOC-файлами:

  • Kaspersky Endpoint Agent поддерживает IOC-файлы с расширением ioc и xml открытого стандарта описания индикаторов компрометации OpenIOC версий 1.0 и 1.1.
  • В задаче поиска IOC можно указать только файл с IOC-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи поиска IOC.
  • Если при создании задачи Поиск IOC вы загрузите IOC-файлы, часть из которых не поддерживается Kaspersky Endpoint Agent, то при запуске задачи программа будет использовать только поддерживаемые IOC-файлы.
  • Если при создании задачи Поиск IOC все загруженные вами IOC-файлы не поддерживаются Kaspersky Endpoint Agent, то задача может быть запущена, но в результате выполнения задачи не будут обнаружены индикаторы компрометации.
  • Семантические ошибки и неподдерживаемые программой IOC-термины и теги в IOC-файлах не приводят к ошибкам выполнения задачи. На таких участках IOC-файлов программа фиксирует отсутствие совпадения.
  • Идентификаторы всех IOC-файлов
    , которые используются в одной задаче Поиск IOC, должны быть уникальными. Наличие IOC-файлов с одинаковыми идентификаторами может повлиять на корректность результатов выполнения задачи.
  • Размер одного IOC-файла не должен превышать 3 МБ. Использование файлов большего размера приводит к завершению задач Поиск IOC с ошибкой. При этом суммарный размер всех добавленных файлов в IOC-коллекции может превышать 3 МБ.
  • Рекомендуется создавать на каждую угрозу по одному IOC-файлу. Это облегчает чтение результатов задачи Поиск IOC.

В таблице ниже приведены особенности и ограничения поддержки стандарта OpenIOC программой.

Особенности и ограничения поддержки стандарта OpenIOC версий 1.0 и 1.1

Поддерживаемые условия

OpenIOC 1.0:

is

isnot (как исключение из множества)

contains

containsnot (как исключение из множества)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

Поддерживаемые атрибуты условий

OpenIOC 1.1:

preserve-case

negate

Поддерживаемые операторы

AND

OR

Поддерживаемые типы данных

"date": дата (применимые условия: is, greater-than, less-than)

"int": целое число (применимые условия: is, greater-than, less-than)

"string": строка (применимые условия: is, contains, matches, starts-with, ends-with)

"duration": продолжительность в секундах (применимые условия: is, greater-than, less-than)

Особенности интерпретации типов данных

Типы данных "boolean string", "restricted string", "md5", "IP", "sha256", "base64Binary" интерпретируются как строка (string).

Программа поддерживает интерпретацию параметра Content для типов данных int и date, заданного в виде промежутков:

OpenIOC 1.0:

С использованием оператора TO в поле Content:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

С помощью условий greater-than и less-than

С использованием оператора TO в поле Content

Программа поддерживает интерпретацию типов данных date и duration, если индикаторы заданы в формате ISO 8601, Zulu time zone, UTC.

Поддерживаемые IOC-термины

Полный список поддерживаемых программой IOC-терминов приведен в отдельной таблице.

См. также

Поддерживаемые IOC-термины

Создание и настройка стандартной задачи поиска IOC

Настройка параметров стандартной задачи поиска IOC

Экспорт IOC-коллекции

Просмотр результатов выполнения задачи поиска IOC
В начало
[Topic 194662]

Поддерживаемые IOC-термины

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

В файле, который можно загрузить по ссылке ниже, приведена таблица с полным списком IOC-терминов стандарта OpenIOC, поддерживаемых программой Kaspersky Endpoint Agent.

ЗАГРУЗИТЬ ФАЙЛ IOC_TERMS.XLSX

В начало
[Topic 199237]

Создание и настройка стандартной задачи поиска IOC

Развернуть всё | Свернуть всё

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

В задаче поиска IOC можно указать только файл с IOC-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи поиска IOC.

Чтобы создать и настроить стандартную задачу поиска IOC,

в зависимости от требуемой области действия задачи выполните одно из следующих действий:

  • Запустите мастер создания локальной задачи.
  • Запустите мастер создания групповой задачи.

    Групповые задачи - это задачи, которые выполняются на устройствах выбранной группы администрирования. Подробнее о задачах см. в документации Kaspersky Security Center.

    Чтобы создать групповую задачу:

    1. Откройте Консоль администрирования Kaspersky Security Center.
    2. Выполните одно из следующих действий:
      • Выберите папку Управляемые устройства дерева Консоли администрирования, если вы хотите создать групповую задачу для всех устройств, управляемых с помощью программы Kaspersky Security Center.
      • В папке Управляемые устройства дерева Консоли администрирования выберите папку с названием группы администрирования, в состав которой входят требуемые устройства.
    3. В рабочей области выберите закладку Задачи.
    4. Нажмите на кнопку Новая задача.

      Запустится мастер создания задачи.

    5. Выберите нужную задачу и нажмите Далее.
    6. Следуйте указаниям мастера создания задачи.

Мастер создания задачи позволяет настроить следующие параметры:

  • IOC-коллекция

    Чтобы настроить IOC-коллекцию, выполните следующие действия:

    1. В блоке параметров IOC-коллекция нажмите на кнопку Обзор.
    2. В раскрывшемся контекстном меню выполните одно из следующих действий:
      • Выберите элемент Выбрать папку, чтобы добавить группу IOC-файлов в IOC-коллекцию.
      • Выберите элемент Выбрать файл, чтобы добавить один IOC-файл в IOC-коллекцию.
    3. В зависимости от вашего выбора, в открывшемся окне выполните одно из следующих действий:
      • Укажите путь к папке с IOC-файлами и нажмите на кнопку ОК.
      • Укажите путь к IOC-файлу и нажмите на кнопку Открыть.

      Если при создании задачи Поиск IOC вы загрузите IOC-файлы, часть из которых не поддерживается Kaspersky Endpoint Agent, то при запуске задачи программа будет использовать только поддерживаемые IOC-файлы.

    4. Чтобы посмотреть список всех IOC-файлов, которые включены в IOC-коллекцию, а также получить информацию о каждом IOC-файле, нажмите на кнопку Просмотр.

      Откроется окно Выбрать папку. В этом окне можно исключить любой файл из базы, сняв флажок, расположенный рядом с именем IOC-файла.

    5. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Выбрать папку.
    6. Чтобы экспортировать созданную IOC-коллекцию, нажмите на кнопку Экспортировать.

      В открывшемся окне можно задать имя файла, а также выбрать папку, в которую вы хотите его сохранить.

    7. Нажмите на кнопку Сохранить.

      Программа создаст файл формата ZIP в указанной папке.

  • Типы данных (IOC-документы) для анализа во время поиска IOC

    Чтобы выбрать типы данных (IOC-документы), которые необходимо анализировать во время поиска IOC, и настроить дополнительные параметры поиска, выполните следующие действия:

    1. Нажмите на кнопку Настроить IOC термины и документы.

      Откроется окно IOC термины и документы.

    2. В блоке параметров Выберите типы данных (IOC-документы) для анализа во время поиска IOC установите флажки рядом с нужными IOC-документами.

      В зависимости от загруженных IOC-файлов, некоторые флажки могут быть неактивными.

      Kaspersky Endpoint Agent автоматически выбирает типы данных (IOC-документы) для задачи Поиск IOC в соответствии с содержанием загруженных IOC-файлов. Не рекомендуется самостоятельно отменять выбор типов данных.

    3. Чтобы настроить дополнительные параметры для выбранного IOC-документа ProcessItem, выполните следующие действия:
      1. Нажмите на кнопку Дополнительно (ProcessItem).

        Откроется окно Параметры проверки документа ProcessItem.

      2. В блоке параметров Индикаторы выберите данные, которые необходимо анализировать во время выполнения задачи.
      3. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа ProcessItem.
    4. Чтобы настроить дополнительные параметры для выбранного IOC-документа FileItem, выполните следующие действия:
      1. Нажмите на кнопку Дополнительно (FileItem).

        Откроется окно Параметры проверки документа FileItem.

      2. На закладке Области выберите данные, которые необходимо анализировать во время выполнения задачи.
      3. На закладке Области выберите области на дисках защищаемого устройства, в которых необходимо искать индикаторы компрометации.

        Вы можете выбрать одну из предзаданных областей, а также указать пути до нужных областей самостоятельно.

      4. На закладке Исключения установите флажок Применять исключения и добавьте пути до областей на дисках защищаемого устройства, которые не нужно сканировать во время выполнения задачи.
      5. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа FileItem.
    5. Чтобы настроить дополнительные параметры для выбранного IOC-документа RegistryItem, выполните следующие действия:
      1. Нажмите на кнопку Дополнительно (RegistryItem).

        Откроется окно Параметры проверки документа RegistryItem.

      2. Задайте ключи реестра Windows, которые необходимо проверять во время выполнения задачи.

        Вы можете выбрать проверку по предзаданным ключам реестра или указать список нужных ключей реестра самостоятельно.

      3. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа RegistryItem.
    6. Чтобы настроить дополнительные параметры для выбранного IOC-документа EventLogItem, выполните следующие действия:
      1. Нажмите на кнопку Дополнительно (EventLogItem).

        Откроется окно Параметры проверки документа EventLogItem.

      2. Чтобы во время выполнения задачи не учитывать события, зафиксированные ранее определенного момента, установите флажок Проверять только события, зафиксированные в течение указанного периода и укажите дату и время.
      3. Ниже в том же окне, если необходимо, отредактируйте предзаданный список каналов, которые необходимо анализировать во время выполнения задачи.
      4. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа EventLogItem.
    7. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно.

    Сохраненные параметры будут применены при выполнении задачи.

  • Ретроспективный поиск IOC

    Ретроспективный поиск IOC - это режим работы задачи Поиск IOC, при котором Kaspersky Endpoint Agent выполняет поиск индикаторов компрометации по данным, полученным за указанный пользователем интервал времени. Режим предназначен для поиска индикаторов компрометации по данным сетевой активности защищаемых устройств. Kaspersky Endpoint Agent анализирует данные в журналах операционной системы и браузеров на устройствах.

    Режим Ретроспективный поиск IOC доступен только для Стандартных задач поиска IOC.

    Чтобы включить режим Ретроспективный поиск IOC:

    1. В блоке параметров Ретроспективный поиск IOC включите параметр Выполнять Ретроспективный поиск IOC в интервале.
    2. Укажите временной интервал.

      Во время выполнения задачи программа анализирует данные, собранные за указанный вами интервал времени, включая границы указанного интервала (с 00:00 даты начала до 23:59 даты окончания). По умолчанию задан интервал, начинающийся в 00:00 дня, предшествующего дню создания задачи, и заканчивающийся в 23:59 дня создания задачи.

    Если во время выполнения задачи Поиск IOC со включенным параметром Выполнять Ретроспективный поиск IOC в интервале программа не обнаруживает данных для анализа за указанный временной интервал, программа не информирует об этом. В этом случае программа сообщает об отсутствии индикаторов компрометации в отчете о выполнении задачи.

  • Действия программы при обнаружении IOC

    Чтобы настроить действия Kaspersky Endpoint Agent при обнаружении IOC, выполните следующие действия:

    1. В разделе Действия установите флажок Принять ответные действия при обнаружении индикатора компрометации.
    2. Установите флажок Изолировать устройство от сети, чтобы программа Kaspersky Endpoint Agent выполняла сетевую изоляцию устройства, на котором обнаружен индикатор компрометации.
    3. Установите флажок EPP выполнять проверку важных областей на устройстве, чтобы программа Kaspersky Endpoint Agent отправляла программе EPP команду на выполнение проверки важных областей на всех устройствах группы администрирования, на которых обнаружены индикаторы компрометации.

    При настройке параметров задачи через Консоль администрирования Kaspersky Security Center флажок Не выполнять действий над критическими системными файлами доступен, только если для задачи выбрано ответное действие Поместить на карантин и удалить (этот параметр можно настроить только через Kaspersky Security Center Web Console).

  • Расписание запуска задачи

    Чтобы настроить расписание запуска задач поиска IOC, выполните следующие действия:

    1. В разделе Расписание запуска задач установите флажок Запускать по расписанию.
    2. В списке Периодичность выберите один из следующих вариантов запуска задач поиска IOC: В указанное время, Каждый час, Каждый день, Каждую неделю или При запуске программы.
    3. Если вы выбрали запуск задачи В указанное время, в разделе Запускать по расписанию укажите время и дату запуска задачи.
    4. Если вы выбрали запуск задачи Каждый час, Каждый день или Каждую неделю, в разделе Запускать по расписанию настройте параметры запуска задачи:
      1. В списке Каждый выберите периодичность запуска задачи. Например, 1 раз в день или 2 раза в неделю по вторникам и четвергам.
      2. В списках Время и Дата выберите время и дату начала действия расписания.
    5. Чтобы выполнить расширенную настройку расписания, нажмите на кнопку Дополнительно и выполните следующие действия в окне Дополнительно:
      1. Если вы хотите задать максимальное время ожидания выполнения задачи, установите флажок Завершать задачи, выполняющиеся более и укажите, через сколько часов и минут задача будет автоматически завершаться.
      2. Если вы хотите, чтобы расписание запуска задачи действовало до определенной даты, установите флажок Отменить расписание с и укажите дату окончания действия расписания.
      3. Если вы хотите, чтобы программа при первой возможности запускала задачи поиска IOC, не выполненные вовремя, установите флажок Запускать пропущенные задачи.
      4. Если вы хотите избежать одновременного обращения большого количества рабочих станций к Серверу администрирования и запускать задачу на рабочих станциях не точно по расписанию, а случайным образом в течение определенного интервала времени, установите флажок Запускать задачу каждые и задайте интервал запуска в минутах.
      5. Нажмите на кнопку OK.
  • Учетную запись пользователя Kaspersky Security Center для запуска задачи

    Чтобы выбрать учетную запись пользователя Kaspersky Security Center, с правами которой запускать задачу,

    в блоке параметров выбора учетной записи для запуска задачи выполните одно из следующих действий:

    • Выберите учетную запись по умолчанию и нажмите на кнопку Далее.
    • Введите имя и пароль пользователя, с правами учетной записью которого вы хотите выполнять задачу.
  • Название задачи

    Название задачи не должно превышать 100 символов и не должно содержать специальные символы ("*<>?\:|).

Идентификаторы всех IOC-файлов, которые используются в одной задаче Поиск IOC, должны быть уникальными. Наличие IOC-файлов с одинаковыми идентификаторами может повлиять на корректность результатов выполнения задачи.

Если при создании задачи Поиск IOC вы загрузите IOC-файлы, часть из которых не поддерживается Kaspersky Endpoint Agent, то при запуске задачи программа будет использовать только поддерживаемые IOC-файлы.

Семантические ошибки и неподдерживаемые программой IOC-термины и теги в IOC-файлах не приводят к ошибкам выполнения задачи. На таких участках IOC-файлов программа фиксирует отсутствие совпадения.

См. также

Требования к IOC-файлам

Поддерживаемые IOC-термины

Настройка параметров стандартной задачи поиска IOC

Экспорт IOC-коллекции

Просмотр результатов выполнения задачи поиска IOC
В начало
[Topic 194313]

Настройка параметров стандартной задачи поиска IOC

Развернуть всё | Свернуть всё

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

В задаче поиска IOC можно указать только файл с IOC-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи поиска IOC.

Чтобы настроить параметры стандартной задачи поиска IOC:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве Консоли администрирования откройте папку Задачи.

    В рабочей области отобразится список задач.

  3. Откройте параметры требуемой задачи одним из следующих способов:
    • Двойным щелчком мыши по названию задачи.
    • Откройте контекстное меню задачи и выберите пункт Свойства.
    • Выберите задачу и нажмите на ссылку Настроить параметры задачи в правой части окна.

    Откроется окно Свойства: <Название задачи>.

  4. В левой части окна выберите раздел параметров, которые вы хотите настроить.
  5. В правой части окна внесите необходимые изменения и нажмите на кнопку Применить, а затем на кнопку OK.

    Настройка параметров стандартной задачи поиска IOC завершена.

Вы можете настроить следующие параметры задачи:

  • Название задачи

    Выполните следующие действия:

    1. Выберите раздел Общие.
    2. Измените имя задачи в верхней строке.

  • Срок хранения результатов выполнения задачи на Сервере администрирования

    Выполните следующие действия:

    1. Выберите раздел Уведомление.
    2. В блоке Сохранять информацию о результатах убедитесь, что флажок На Сервере администрирования в течение (сут) установлен и укажите, сколько суток вы хотите хранить результат выполнения задачи.

      По умолчанию результат выполнения задачи хранится на Сервере администрирования 7 дней.

  • IOC-коллекция

    Чтобы настроить IOC-коллекцию, выполните следующие действия:

    1. В блоке параметров IOC-коллекция нажмите на кнопку Обзор.
    2. В раскрывшемся контекстном меню выполните одно из следующих действий:
      • Выберите элемент Выбрать папку, чтобы добавить группу IOC-файлов в IOC-коллекцию.
      • Выберите элемент Выбрать файл, чтобы добавить один IOC-файл в IOC-коллекцию.
    3. В зависимости от вашего выбора, в открывшемся окне выполните одно из следующих действий:
      • Укажите путь к папке с IOC-файлами и нажмите на кнопку ОК.
      • Укажите путь к IOC-файлу и нажмите на кнопку Открыть.

      Если при создании задачи Поиск IOC вы загрузите IOC-файлы, часть из которых не поддерживается Kaspersky Endpoint Agent, то при запуске задачи программа будет использовать только поддерживаемые IOC-файлы.

    4. Чтобы посмотреть список всех IOC-файлов, которые включены в IOC-коллекцию, а также получить информацию о каждом IOC-файле, нажмите на кнопку Просмотр.

      Откроется окно Выбрать папку. В этом окне можно исключить любой файл из базы, сняв флажок, расположенный рядом с именем IOC-файла.

    5. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Выбрать папку.
    6. Чтобы экспортировать созданную IOC-коллекцию, нажмите на кнопку Экспортировать.

      В открывшемся окне можно задать имя файла, а также выбрать папку, в которую вы хотите его сохранить.

    7. Нажмите на кнопку Сохранить.

      Программа создаст файл формата ZIP в указанной папке.

  • Ретроспективный поиск IOC

    Ретроспективный поиск IOC - это режим работы задачи Поиск IOC, при котором Kaspersky Endpoint Agent выполняет поиск индикаторов компрометации по данным, полученным за указанный пользователем интервал времени. Режим предназначен для поиска индикаторов компрометации по данным сетевой активности защищаемых устройств. Kaspersky Endpoint Agent анализирует данные в журналах операционной системы и браузеров на устройствах.

    Режим Ретроспективный поиск IOC доступен только для Стандартных задач поиска IOC.

    Чтобы включить режим Ретроспективный поиск IOC:

    1. В блоке параметров Ретроспективный поиск IOC включите параметр Выполнять Ретроспективный поиск IOC в интервале.
    2. Укажите временной интервал.

      Во время выполнения задачи программа анализирует данные, собранные за указанный вами интервал времени, включая границы указанного интервала (с 00:00 даты начала до 23:59 даты окончания). По умолчанию задан интервал, начинающийся в 00:00 дня, предшествующего дню создания задачи, и заканчивающийся в 23:59 дня создания задачи.

    Если во время выполнения задачи Поиск IOC со включенным параметром Выполнять Ретроспективный поиск IOC в интервале программа не обнаруживает данных для анализа за указанный временной интервал, программа не информирует об этом. В этом случае программа сообщает об отсутствии индикаторов компрометации в отчете о выполнении задачи.

  • Действия программы при обнаружении IOC

    Чтобы настроить действия Kaspersky Endpoint Agent при обнаружении IOC, выполните следующие действия:

    1. В разделе Действия установите флажок Принять ответные действия при обнаружении индикатора компрометации.
    2. Установите флажок Изолировать устройство от сети, чтобы программа Kaspersky Endpoint Agent выполняла сетевую изоляцию устройства, на котором обнаружен индикатор компрометации.
    3. Установите флажок EPP выполнять проверку важных областей на устройстве, чтобы программа Kaspersky Endpoint Agent отправляла программе EPP команду на выполнение проверки важных областей на всех устройствах группы администрирования, на которых обнаружены индикаторы компрометации.

    При настройке параметров задачи через Консоль администрирования Kaspersky Security Center флажок Не выполнять действий над критическими системными файлами доступен, только если для задачи выбрано ответное действие Поместить на карантин и удалить (этот параметр можно настроить только через Kaspersky Security Center Web Console).

  • Типы данных (IOC-документы) для анализа во время поиска IOC

    Чтобы выбрать типы данных (IOC-документы), которые необходимо анализировать во время поиска IOC, и настроить дополнительные параметры поиска, выполните следующие действия:

    1. Перейдите в раздел Дополнительно.
    2. В блоке параметров Выберите типы данных (IOC-документы) для анализа во время поиска IOC установите флажки рядом с нужными IOC-документами.

      В зависимости от загруженных IOC-файлов, некоторые флажки могут быть неактивными.

      Kaspersky Endpoint Agent автоматически выбирает типы данных (IOC-документы) для задачи Поиск IOC в соответствии с содержанием загруженных IOC-файлов. Не рекомендуется самостоятельно отменять выбор типов данных.

    3. Чтобы настроить дополнительные параметры для выбранного IOC-документа ProcessItem, выполните следующие действия:
      1. Нажмите на кнопку Дополнительно (ProcessItem).

        Откроется окно Параметры проверки документа ProcessItem.

      2. В блоке параметров Индикаторы выберите данные, которые необходимо анализировать во время выполнения задачи.
      3. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа ProcessItem.
    4. Чтобы настроить дополнительные параметры для выбранного IOC-документа FileItem, выполните следующие действия:
      1. Нажмите на кнопку Дополнительно (FileItem).

        Откроется окно Параметры проверки документа FileItem.

      2. На закладке Области выберите данные, которые необходимо анализировать во время выполнения задачи.
      3. На закладке Области выберите области на дисках защищаемого устройства, в которых необходимо искать индикаторы компрометации.

        Вы можете выбрать одну из предзаданных областей, а также указать пути до нужных областей самостоятельно.

      4. На закладке Исключения установите флажок Применять исключения и добавьте пути до областей на дисках защищаемого устройства, которые не нужно сканировать во время выполнения задачи.
      5. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа FileItem.
    5. Чтобы настроить дополнительные параметры для выбранного IOC-документа RegistryItem, выполните следующие действия:
      1. Нажмите на кнопку Дополнительно (RegistryItem).

        Откроется окно Параметры проверки документа RegistryItem.

      2. Задайте ключи реестра Windows, которые необходимо проверять во время выполнения задачи.

        Вы можете выбрать проверку по предзаданным ключам реестра или указать список нужных ключей реестра самостоятельно.

      3. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа RegistryItem.
    6. Чтобы настроить дополнительные параметры для выбранного IOC-документа EventLogItem, выполните следующие действия:
      1. Нажмите на кнопку Дополнительно (EventLogItem).

        Откроется окно Параметры проверки документа EventLogItem.

      2. Чтобы во время выполнения задачи не учитывать события, зафиксированные ранее определенного момента, установите флажок Проверять только события, зафиксированные в течение указанного периода и укажите дату и время.
      3. Ниже в том же окне, если необходимо, отредактируйте предзаданный список каналов, которые необходимо анализировать во время выполнения задачи.
      4. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа EventLogItem.
    7. Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно.

    Сохраненные параметры будут применены при выполнении задачи.

  • Расписание запуска задачи поиска IOC

    Чтобы настроить расписание запуска задач поиска IOC, выполните следующие действия:

    1. В разделе Расписание запуска задач установите флажок Запускать по расписанию.
    2. В списке Периодичность выберите один из следующих вариантов запуска задач поиска IOC: В указанное время, Каждый час, Каждый день, Каждую неделю или При запуске программы.
    3. Если вы выбрали запуск задачи В указанное время, в разделе Запускать по расписанию укажите время и дату запуска задачи.
    4. Если вы выбрали запуск задачи Каждый час, Каждый день или Каждую неделю, в разделе Запускать по расписанию настройте параметры запуска задачи:
      1. В списке Каждый выберите периодичность запуска задачи. Например, 1 раз в день или 2 раза в неделю по вторникам и четвергам.
      2. В списках Время и Дата выберите время и дату начала действия расписания.
    5. Чтобы выполнить расширенную настройку расписания, нажмите на кнопку Дополнительно и выполните следующие действия в окне Дополнительно:
      1. Если вы хотите задать максимальное время ожидания выполнения задачи, установите флажок Завершать задачи, выполняющиеся более и укажите, через сколько часов и минут задача будет автоматически завершаться.
      2. Если вы хотите, чтобы расписание запуска задачи действовало до определенной даты, установите флажок Отменить расписание с и укажите дату окончания действия расписания.
      3. Если вы хотите, чтобы программа при первой возможности запускала задачи поиска IOC, не выполненные вовремя, установите флажок Запускать пропущенные задачи.
      4. Если вы хотите избежать одновременного обращения большого количества рабочих станций к Серверу администрирования и запускать задачу на рабочих станциях не точно по расписанию, а случайным образом в течение определенного интервала времени, установите флажок Запускать задачу каждые и задайте интервал запуска в минутах.
      5. Нажмите на кнопку OK.
  • Учетная запись пользователя Kaspersky Security Center для запуска задачи

    Чтобы выбрать учетную запись пользователя Kaspersky Security Center, с правами которой запускать задачу,

    в блоке параметров выбора учетной записи для запуска задачи выполните одно из следующих действий:

    • Выберите учетную запись по умолчанию и нажмите на кнопку Далее.
    • Введите имя и пароль пользователя, с правами учетной записью которого вы хотите выполнять задачу.
  • Исключение групп устройств из области действия задачи

    Если вы хотите исключить группы хостов из области действия задачи, в разделе Исключения из области действия задачи выберите группы устройств, к которым не будет применяться задача.

    Группы, подлежащие исключению, могут быть только подгруппами группы администрирования, к которой применяется задача.

В начало
[Topic 194314]

Экспорт IOC-коллекции

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы экспортировать IOC-коллекцию:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве Консоли администрирования откройте папку Задачи.

    Отобразится список задач.

  3. В разделе Запустить поиск IOC выберите задачу в списке и правой клавишей мыши раскройте меню действий над задачами.
  4. Выберите пункт меню Свойства.

    Откроется окно свойств задачи.

  5. Выберите раздел Параметры поиска IOC.
  6. В разделе IOC-коллекция нажмите на кнопку Экспортировать.
  7. В открывшемся окне задайте имя файла, а также выберите папку, в которую вы хотите его сохранить.
  8. Нажмите на кнопку Сохранить.

    Программа создаст файл формата ZIP в указанной вами папке.

См. также

Требования к IOC-файлам

Поддерживаемые IOC-термины

Создание и настройка стандартной задачи поиска IOC

Настройка параметров стандартной задачи поиска IOC

Просмотр результатов выполнения задачи поиска IOC
В начало
[Topic 195177]

Просмотр результатов выполнения задачи поиска IOC

В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.

Чтобы просмотреть результаты выполнения задачи Поиск IOC:

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В дереве Консоли администрирования откройте папку Задачи.

    В рабочей области отобразится список задач.

  3. Откройте параметры нужной задачи одним из следующих способов:
    • Двойным щелчком мыши по названию задачи.
    • Откройте контекстное меню задачи и выберите пункт Свойства.
    • Выберите задачу и нажмите на ссылку Настроить параметры задачи в правой части окна.

    Откроется окно Свойства: <Имя задачи>.

  4. Выберите раздел Результаты.
  5. В списке Показать результаты по устройству выберите, по каким устройствам вы хотите просмотреть результаты выполнения задач поиска IOC.
  6. Чтобы просмотреть подробную информацию об определенной задаче, раскройте ее двойным щелчком мыши.
  7. Чтобы просмотреть подробную информацию об обнаруженном индикаторе компрометации, нажмите на кнопку Показать карточку.

    Карточка обнаруженных IOC содержит информацию об объектах, совпавших с условиями обработанного IOC-файла, а также текст совпавших веток или отдельных условий из этого IOC-файла.

    Просмотр карточки обнаруженных IOC недоступен для IOC-файлов, при проверке которых не было обнаружено индикаторов компрометации.

См. также

Требования к IOC-файлам

Поддерживаемые IOC-термины

Создание и настройка стандартной задачи поиска IOC

Настройка параметров стандартной задачи поиска IOC

Экспорт IOC-коллекции
В начало
[Topic 195119]