Содержание
Управление стандартными задачами поиска IOC
В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.
Стандартные задачи поиска IOC – групповые или локальные задачи, которые создаются и настраиваются вручную в Kaspersky Security Center или через интерфейс командной строки. Для запуска задач используются IOC-файлы, подготовленные пользователем.
В задаче поиска IOC можно указать только файл с IOC-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи поиска IOC.
В этом разделе приведены инструкции по управлению стандартными задачами поиска IOC.
Требования к IOC-файлам
В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.
При создании задач Поиск IOC учитывайте следующие требования и ограничения, связанные с
:- Kaspersky Endpoint Agent поддерживает IOC-файлы с расширением ioc и xml открытого стандарта описания индикаторов компрометации OpenIOC версий 1.0 и 1.1.
- В задаче поиска IOC можно указать только файл с IOC-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи поиска IOC.
- Если при создании задачи Поиск IOC вы загрузите IOC-файлы, часть из которых не поддерживается Kaspersky Endpoint Agent, то при запуске задачи программа будет использовать только поддерживаемые IOC-файлы.
- Если при создании задачи Поиск IOC все загруженные вами IOC-файлы не поддерживаются Kaspersky Endpoint Agent, то задача может быть запущена, но в результате выполнения задачи не будут обнаружены индикаторы компрометации.
- Семантические ошибки и неподдерживаемые программой IOC-термины и теги в IOC-файлах не приводят к ошибкам выполнения задачи. На таких участках IOC-файлов программа фиксирует отсутствие совпадения.
- , которые используются в одной задаче Поиск IOC, должны быть уникальными. Наличие IOC-файлов с одинаковыми идентификаторами может повлиять на корректность результатов выполнения задачи.
- Размер одного IOC-файла не должен превышать 3 МБ. Использование файлов большего размера приводит к завершению задач Поиск IOC с ошибкой. При этом суммарный размер всех добавленных файлов в IOC-коллекции может превышать 3 МБ.
- Рекомендуется создавать на каждую угрозу по одному IOC-файлу. Это облегчает чтение результатов задачи Поиск IOC.
В таблице ниже приведены особенности и ограничения поддержки стандарта OpenIOC программой.
Особенности и ограничения поддержки стандарта OpenIOC версий 1.0 и 1.1
Поддерживаемые условия |
OpenIOC 1.0:
OpenIOC 1.1:
|
Поддерживаемые атрибуты условий |
OpenIOC 1.1:
|
Поддерживаемые операторы |
|
Поддерживаемые типы данных |
|
Особенности интерпретации типов данных |
Типы данных Программа поддерживает интерпретацию параметра OpenIOC 1.0: С использованием оператора
OpenIOC 1.1: С помощью условий С использованием оператора Программа поддерживает интерпретацию типов данных |
Поддерживаемые IOC-термины |
Полный список поддерживаемых программой IOC-терминов приведен в отдельной таблице. |
Поддерживаемые IOC-термины
В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.
В файле, который можно загрузить по ссылке ниже, приведена таблица с полным списком IOC-терминов стандарта OpenIOC, поддерживаемых программой Kaspersky Endpoint Agent.
В начало
Настройка параметров стандартной задачи поиска IOC
В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.
Создание задачи выполняется предварительно отдельным этапом.
Если во время создания задачи, вы установили флажок Открыть окно свойств задачи после ее создания на странице Завершение создания задачи, то переходите сразу к пункту 4 приведенной далее инструкции.
В задаче поиска IOC можно указать только файл с IOC-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи поиска IOC.
Чтобы настроить параметры стандартной задачи поиска IOC:
- В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
- Чтобы открыть окно настройки параметров задачи, нажмите на имя задачи.
- Выберите закладку Параметры программы.
- В разделе Параметры поиска IOC настройте IOC-коллекцию, выполнив следующие действия:
- В блоке параметров IOC-коллекция нажмите на кнопку Переопределить IOC-файлы.
- В открывшемся диалоговом окне нажмите на кнопку Добавить IOC-файлы и укажите IOC-файлы, которые вы хотите использовать для задачи.
Для одной задачи поиска IOC можно выбрать несколько IOC-файлов.
- Нажмите на кнопку ОК, чтобы закрыть диалоговое окно.
Если при создании задачи Поиск IOC вы загрузите IOC-файлы, часть из которых не поддерживается Kaspersky Endpoint Agent, то при запуске задачи программа будет использовать только поддерживаемые IOC-файлы.
- Если вы хотите посмотреть список всех IOC-файлов, которые включены в IOC-коллекцию, а также получить информацию о каждом IOC-файле, выполните следующие действия:
- Нажмите на ссылку с именами всех загруженных IOC-файлов в блоке параметров IOC-файлы.
Откроется окно Содержимое IOC ().
- Чтобы просмотреть детальную информацию об отдельном IOC-файле, на закладке IOC-коллекция в списке файлов нажмите на имя нужного IOC-файла.
В открывшемся окне отображена информация о выбранном IOC-файле.
- Чтобы закрыть окно с информацией о выбранном IOC-файле, нажмите на кнопку ОК или Отмена.
- Чтобы просмотреть информацию сразу обо всех загруженных IOC-файлах, перейдите на закладку Данные IOC.
В рабочей области окна отображена информация о каждом загруженном IOC-файле.
- Если вы хотите, чтобы определенный IOC-файл не использовался при запуске задачи поиска IOC, на закладке IOC-коллекция переведите переключатель рядом с его именем из положения Включить в положение Исключить.
- Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Содержимое IOC ().
- Нажмите на ссылку с именами всех загруженных IOC-файлов в блоке параметров IOC-файлы.
- Если вы хотите экспортировать созданную IOC-коллекцию, нажмите на кнопку Экспортировать IOC-коллекцию.
В открывшемся окне можно задать имя файла, а также выбрать папку, в которую вы хотите его сохранить.
- Нажмите на кнопку Сохранить.
Программа создаст файл формата ZIP в указанной папке.
- В блоке параметров Ретроспективный поиск IOC настройте параметры :
- В блоке параметров Ретроспективный поиск IOC включите параметр Выполнять Ретроспективный поиск IOC в интервале.
- Укажите временной интервал.
Во время выполнения задачи программа анализирует данные, собранные за указанный вами интервал времени, включая границы указанного интервала (с 00:00 даты начала до 23:59 даты окончания). По умолчанию задан интервал, начинающийся в 00:00 дня, предшествующего дню создания задачи, и заканчивающийся в 23:59 дня создания задачи.
Если во время выполнения задачи Поиск IOC со включенным параметром Выполнять Ретроспективный поиск IOC в интервале программа не обнаруживает данных для анализа за указанный временной интервал, программа не информирует об этом. В этом случае программа сообщает об отсутствии индикаторов компрометации в отчете о выполнении задачи.
- В блоке параметров Действия настройте ответные действия при обнаружении индикатора компрометации:
- Установите флажок Принять ответные действия при обнаружении индикатора компрометации.
- Установите флажок Изолировать устройство от сети, чтобы программа Kaspersky Endpoint Agent выполняла сетевую изоляцию устройства, на котором обнаружен индикатор компрометации.
- Установите флажок Поместить на карантин и удалить, чтобы поместить обнаруженный объект на карантин и удалить его с устройства.
- Установите флажок EPP запустить проверку важных областей на устройстве, чтобы программа Kaspersky Endpoint Agent отправляла программе EPP команду на выполнение проверки важных областей на всех устройствах группы администрирования, на которых обнаружены индикаторы компрометации.
Если включен параметр Поместить на карантин и удалить или Запустить проверку важных областей, в качестве ответных действий Kaspersky Endpoint Agent может признать обнаруженные файлы зараженными и удалить их с устройства.
- В блоке параметров Защита критических системных файлов установите флажок Не выполнять действий над критическими системными файлами, если вы хотите защитить критические системные файлы от помещения на карантин и удаления при обнаружении индикатора компрометации.
Опция доступна, только если в блоке параметров Действия выбрано Поместить на карантин и удалить.
При выбранной опции, если объект оказывается критическим системным файлом, программа не выполняет никаких действий с этим объектом. Информация об этом записывается в отчете о выполнении задачи.
- В разделе Дополнительно выберите типы данных (IOC-документы), которые необходимо анализировать во время выполнения задачи, и настройте дополнительные параметры поиска:
- В блоке параметров Выберите типы данных (IOC-документы) для анализа во время поиска IOC установите флажки рядом с нужными IOC-документами.
В зависимости от загруженных IOC-файлов, некоторые флажки могут быть неактивными.
Kaspersky Endpoint Agent автоматически выбирает типы данных (IOC-документы) для задачи Поиск IOC в соответствии с содержанием загруженных IOC-файлов. Не рекомендуется самостоятельно отменять выбор типов данных.
- Если установлен флажок Анализировать данные файлов (FileItem), нажмите на ссылку Дополнительно (FileItem) и в открывшемся окне Параметры проверки документа FileItem выберите области на дисках защищаемого устройства, в которых необходимо искать индикаторы компрометации.
Вы можете выбрать одну из предзаданных областей, а также указать пути до нужных областей самостоятельно.
- Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа FileItem.
- Если установлен флажок Анализировать данные WEL (EventLogItem), нажмите на ссылку Дополнительно (EventLogItem) и в открывшемся окне Параметры проверки документа EventLogItem настройте дополнительные параметры анализа событий:
- Проверять только события, зафиксированные в течение указанного периода.
Если флажок установлен, во время выполнения задачи учитываются только те события, которые были зафиксированы в указанный период.
- Проверять события, относящиеся к следующим каналам.
Список каналов, которые анализируются во время выполнения задачи.
- Проверять только события, зафиксированные в течение указанного периода.
- Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа FileItem.
- В блоке параметров Выберите типы данных (IOC-документы) для анализа во время поиска IOC установите флажки рядом с нужными IOC-документами.
- Нажмите на кнопку Сохранить.
Вы можете запускать созданную задачу вручную или настроить автоматический запуск задачи по расписанию.
В началоПросмотр результатов выполнения задачи поиска IOC
В разделе приведена инструкция для Kaspersky Endpoint Agent для Windows. Эта инструкция может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Актуальную инструкцию для Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.
Чтобы просмотреть результаты выполнения задачи Поиск IOC:
- В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
- Чтобы открыть окно настройки параметров задачи, нажмите на имя задачи.
- Выберите закладку Параметры программы.
- Выберите раздел Результаты поиска IOC.
- В раскрывающемся списке Устройство выберите, для каких устройств вы хотите просмотреть результаты выполнения задачи поиска IOC.
Отобразится сводная таблица результатов выполнения задачи на выбранных устройствах.
Если на устройствах обнаружены индикаторы компрометации, в столбце Результаты отображается обнаружены индикаторы компрометации.
- Если вы хотите просмотреть подробную информацию об обнаруженных индикаторах компрометации на определенном устройстве, выполните следующие действия:
- Нажмите на ссылку обнаружены индикаторы компрометации в строке с именем нужного устройства.
Откроется окно Результаты поиска IOC со списком всех IOC-файлов, использованных в рамках задачи. Если на выбранном устройстве присутствует объект, который совпадает с определенным индикатором компрометации, в столбце Статус отображается совпадает.
- Нажмите на ссылку совпадает в строке с именем нужного IOC-файла.
Откроется окно Карточка инцидента IOC.
Карточка инцидента IOC содержит информацию об объектах на устройстве, совпавших с условиями обработанного IOC-файла, а также текст совпавших веток или отдельных условий из этого IOC-файла.
Просмотр Карточки инцидента IOC недоступен для IOC-файлов, при проверке которых не было обнаружено совпадений на устройстве.
- Нажмите на ссылку обнаружены индикаторы компрометации в строке с именем нужного устройства.