Работа с пользовательскими правилами IOC

Вы можете использовать IOC-файлы для поиска индикаторов компрометации по базе событий и на компьютерах с установленной программой Kaspersky Endpoint Agent. Например, если вы получили из внешних источников информацию о распространении вредоносной программы, вы можете выполнить следующие действия:

1. Загрузить в веб-интерфейс Kaspersky Anti Targeted Attack Platform IOC-файл с индикаторами компрометации для вредоносной программы.
2. Найти события, соответствующие условиям выбранного IOC-файла.

   Вы можете просмотреть эти события и, если вы хотите, чтобы программа Kaspersky Anti Targeted Attack Platform формировала обнаружения по выбранным событиям, вы можете создать правило TAA (IOA).

3. Включить автоматическое использование выбранного IOC-файла для поиска индикаторов компрометации на компьютерах с программой Kaspersky Endpoint Agent.

   Если в результате проверки компьютеров программа Kaspersky Anti Targeted Attack Platform обнаружит индикаторы компрометации, программа Kaspersky Anti Targeted Attack Platform сформирует обнаружение.

4. Настроить расписание поиска индикаторов компрометации с помощью IOC-файлов на компьютерах с программой Kaspersky Endpoint Agent.

В

режиме распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

• Локальный – IOC-файлы, загруженные на сервер SCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу SCN.
• Глобальный – IOC-файлы, загруженные на сервер PCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN.

Вы можете ознакомиться со списком поддерживаемых индикаторов компрометации открытого стандарта OpenIOC, скачав файл.

Пользователи с ролью Старший сотрудник службы безопасности могут импортировать, удалять, скачивать IOC-файлы на компьютер, включать и отключать поиск индикаторов компрометации по IOC-файлам, а также настраивать расписание поиска индикаторов компрометации на компьютерах с установленной программой Kaspersky Endpoint Agent.

Пользователи с ролью Сотрудник службы безопасности и Аудитор могут просматривать список IOC-файлов и информацию о выбранном файле, а также экспортировать IOC-файлы на компьютер.

Просмотр таблицы IOC-файлов

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Таблица IOC-файлов содержит информацию об IOC-файлах, используемых для проверки на компьютерах с программой Kaspersky Endpoint Agent, и находится в разделе Пользовательские правила, подразделе IOC окна веб-интерфейса программы.

В таблице IOC-файлов содержится следующая информация:

1.  – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого IOC-файла.

   Степень важности может иметь одно из следующих значений:

   •  – низкая важность.
   •  – средняя важность.
   •  – высокая важность.
2. Тип – тип IOC-файла в зависимости от режима работы программы и сервера, на который загружен IOC-файл:
   • Локальный – IOC-файлы, загруженные на сервер SCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу SCN.
   • Глобальный – IOC-файлы, загруженные на сервер PCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN.
3. Имя – имя IOC-файла.
4. Серверы – имя сервера с компонентом Central Node.
5. Автоматическая проверка – использование IOC-файла при автоматической проверке хостов с программой Kaspersky Endpoint Agent.

   Проверка хостов с использованием этого IOC-файла может находиться в одном из следующих состояний:

   • Включено.
   • Отключено.

Просмотр информации об IOC-файле

Чтобы просмотреть информацию об IOC-файле:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. Выберите IOC-файл, информацию о котором вы хотите просмотреть.

Откроется окно с информацией об IOC-файле.

Окно содержит следующую информацию:

• Найти обнаружения – по ссылке открывается раздел Обнаружения с условием фильтрации, содержащим имя выбранного вами IOC-файла.
• Найти события – по ссылке открывается раздел Поиск угроз с условием поиска, содержащим индикаторы компрометации выбранного вами IOC-файла.
• Скачать – по ссылке открывается окно скачивания IOC-файла.
• Автоматическая проверка – использование IOC-файла при автоматической проверке хостов с программой Kaspersky Endpoint Agent.
• Имя – имя IOC-файла.
• Важность – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого IOC-файла.

  Степень важности может иметь одно из следующих значений:

  •  – низкая важность.
  •  – средняя важность.
  •  – высокая важность.
• Область применения – отображает название тенанта и имена серверов, к которым относятся события, проверяемые по этому IOC-файлу (в режиме распределенного решения и мультитенантности).
• XML – отображает содержимое IOC-файла в формате XML.

Загрузка IOC-файла

IOC-файлы со свойствами UserItem для доменных пользователей не поддерживаются.

Чтобы загрузить IOC-файл:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. Нажмите на кнопку Загрузить.

   Откроется окно выбора файла на вашем локальном компьютере.

3. Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.
4. Укажите следующие параметры:
   1. Автоматическая проверка – использование IOC-файла при автоматической проверке хостов с программой Kaspersky Endpoint Agent:
      • Включено.
      • Отключено.
   2. Имя – имя IOC-файла.
   3. Важность – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого IOC-файла:
      • Низкая.
      • Средняя.
      • Высокая.
   4. Область применения – название тенанта и имена серверов, которые вы хотите проверять с помощью этого IOC-файла (в режиме распределенного решения и мультитенантности).
5. Нажмите на кнопку Сохранить.

IOC-файл будет загружен в формате XML.

Скачивание IOC-файла на компьютер

Вы можете скачать ранее загруженный IOC-файл на компьютер.

Чтобы скачать IOC-файл на компьютер:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.
2. Откроется таблица IOC-файлов.Выберите IOC-файл, который вы хотите скачать.

   Откроется окно с информацией об IOC-файле.

3. В зависимости от параметров вашего браузера, по ссылке Скачать сохраните файл в папку по умолчанию или укажите папку для сохранения файла.

IOC-файл будет сохранен на компьютер в папку загрузки браузера.

Включение и отключение автоматического использования IOC-файла при проверке хостов

Вы можете включить или отключить автоматическое использование IOC-файла для поиска индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent.

Чтобы включить или отключить автоматическое использование IOC-файла для поиска индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. В строке с IOC-файлом, использование которого вы хотите включить или отключить, в столбце Состояние переведите переключатель в одно из следующих положений:
   • Включено.
   • Отключено.

Автоматическое использование IOC-файла для поиска индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent будет включено или отключено.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция включения или отключения автоматического использования IOC-файла при проверке событий недоступна.

Удаление IOC-файла

Чтобы удалить IOC-файл:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.
2. Откроется таблица IOC-файлов.Выберите IOC-файл, который вы хотите удалить.

   Откроется окно с информацией об IOC-файле.

3. Нажмите на кнопку Удалить.

IOC-файл будет удален.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция удаления IOC-файла недоступна.

Поиск обнаружений по результатам IOC-проверки

Чтобы найти и просмотреть результаты проверки по выбранному IOC-файлу:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. Выберите IOC-файл, для которого вы хотите просмотреть результаты проверки.

   Откроется окно с информацией об IOC-файле.

3. Перейдите в базу обнаружений по ссылке Найти обнаружения.

   Откроется новая вкладка браузера с таблицей найденных обнаружений.

Вы также можете просмотреть результаты проверки по всем IOC-файлам, отфильтровав обнаружения по названию технологии.

Поиск событий по IOC-файлу

Чтобы просмотреть события, найденные с помощью IOC-файла:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. Выберите IOC-файл, который вы хотите использовать для поиска событий по базе событий.

   Откроется окно с информацией об IOC-файле.

3. Перейдите в базу событий по ссылке Найти события.

   Откроется новая вкладка браузера с таблицей найденных событий.

Фильтрация и поиск IOC-файлов

Чтобы отфильтровать или найти IOC-файлы по требуемым критериям:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.
2. Откроется таблица IOC-файлов.Выполните следующие действия в зависимости от критерия фильтрации:
   • По степени важности
     1. По значку откройте окно настройки фильтрации IOC-файлов.
     2. Выберите одну или несколько из следующих степеней важности:
        • Низкая.
        • Средняя.
        • Высокая.
     3. Нажмите на кнопку Применить.
   • По имени файла
     1. По ссылке Имя откройте окно настройки фильтрации IOC-файлов.
     2. Введите один или несколько символов имени IOC-файла.
     3. Нажмите на кнопку Применить.
   • По состоянию автоматической проверки (включена / выключена)
     1. По ссылке Автоматическая проверка откройте окно настройки фильтрации IOC-файлов.
     2. Выберите один из следующих вариантов:
        • Включено.
        • Отключено.

В таблице IOC-фалов отобразятся только IOC-файлы, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Сброс фильтра IOC-файлов

Чтобы сбросить фильтр IOC-файлов по одному или нескольким условиям фильтрации:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.
2. Откроется таблица IOC-файлов.Нажмите на кнопку справа от того заголовка столбца таблицы IOC-файлов, условия фильтрации по которому вы хотите сбросить.

   Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные фильтры будут сброшены.

В таблице IOC-фалов отобразятся только IOC-файлы, соответствующие заданным вами условиям.

Настройка расписания IOC-проверки

Вы можете настроить расписание поиска индикаторов компрометации с помощью IOC-файлов на хостах с программой Kaspersky Endpoint Agent.

Чтобы настроить расписание поиска индикаторов компрометации с помощью IOC-файлов на хостах с программой Kaspersky Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Endpoint Agents, раздел Расписание IOC-проверки.
2. В раскрывающихся списках Время запуска выберите время начала поиска индикаторов компрометации.
3. В раскрывающемся списке Максимальное время проверки выберите ограничение по времени выполнения поиска индикаторов компрометации.
4. Нажмите на кнопку Применить.

Новое расписание поиска индикаторов компрометации с помощью IOC-файлов на хостах с программой Kaspersky Endpoint Agent начнет действовать сразу после сохранения изменений. Результаты поиска индикаторов компрометации отобразятся в таблице обнаружений.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности недоступна функция настройки расписания поиска индикаторов компрометации с помощью IOC-файлов на хостах с программой Kaspersky Endpoint Agent.