Работа с пользовательскими правилами IOC

Вы можете использовать IOC-файлы для поиска индикаторов компрометации по базе событий и на компьютерах с компонентом Endpoint Agent. Например, если вы получили из внешних источников информацию о распространении вредоносного приложения, вы можете выполнить следующие действия:

1. Создать IOC-файл с индикаторами компрометации для вредоносного приложения и загрузить его в веб-интерфейс Kaspersky Anti Targeted Attack Platform.
2. Найти события, соответствующие условиям выбранного IOC-файла.

   Вы можете просмотреть эти события и, если вы хотите, чтобы приложение Kaspersky Anti Targeted Attack Platform формировало обнаружения по выбранным событиям, вы можете создать правило TAA (IOA).

3. Включить автоматическое использование выбранного IOC-файла для поиска индикаторов компрометации на компьютерах с компонентом Endpoint Agent.
4. Если в результате проверки компьютеров компонент Endpoint Agent обнаружит индикаторы компрометации, приложение Kaspersky Anti Targeted Attack Platform сформирует обнаружение.

   Вы можете найти эти обнаружения в таблице обнаружений с помощью фильтра по названию технологии.

5. Настроить расписание поиска индикаторов компрометации с помощью IOC-файлов на компьютерах с компонентом Endpoint Agent.

В

режиме распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

• Локальный – IOC-файлы, загруженные на сервер SCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу SCN.
• Глобальный – IOC-файлы, загруженные на сервер PCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN.

IOC-файл представляет собой текстовый файл, сохраненный с расширением .ioc. При создании IOC-файла ознакомьтесь со списком IOC-терминов, поддерживаемых приложением, которое вы используете в роли компонента Endpoint Agent. Вы можете посмотреть список поддерживаемых IOC-терминов, скачав файлы по ссылкам ниже.

Kaspersky Endpoint Agent для Windows и Kaspersky Endpoint Security для Windows

Kaspersky Endpoint Security 12 для Linux

Kaspersky Endpoint Security 11.4 для Linux и Kaspersky Endpoint Security для Mac не поддерживают работу с IOC-файлами.

Пример IOC-файла для поиска файла по его хеш-сумме

Один IOC-файл может содержать только одно правило. Правило может быть любой сложности.

Пользователи с ролью Старший сотрудник службы безопасности могут импортировать, удалять, скачивать IOC-файлы на компьютер, включать и отключать поиск индикаторов компрометации по IOC-файлам, а также настраивать расписание поиска индикаторов компрометации на компьютерах с компонентом Endpoint Agent.

Пользователи с ролью Сотрудник службы безопасности и Аудитор могут просматривать список IOC-файлов и информацию о выбранном файле, а также экспортировать IOC-файлы на компьютер.

Просмотр таблицы IOC-файлов

Если вы используете режим распределенного решения и мультитенантности, выполняйте действия в веб-интерфейсе того сервера PCN или SCN, параметры которого вы хотите настроить.

Таблица IOC-файлов содержит информацию об IOC-файлах, используемых для проверки на компьютерах с компонентом Endpoint Agent, и находится в разделе Пользовательские правила, подразделе IOC окна веб-интерфейса приложения.

В таблице IOC-файлов содержится следующая информация:

1.  – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого IOC-файла.

   Степень важности может иметь одно из следующих значений:

   •  – низкая важность.
   •  – средняя важность.
   •  – высокая важность.
2. Тип – тип IOC-файла в зависимости от режима работы приложения и сервера, на который загружен IOC-файл:
   • Локальный – IOC-файлы, загруженные на сервер SCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с компонентом Endpoint Agent, подключенных к этому серверу SCN.
   • Глобальный – IOC-файлы, загруженные на сервер PCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с компонентом Endpoint Agent, подключенных к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN.
3. Имя – имя IOC-файла.
4. Серверы – имя сервера с ролью PCN или SCN, на который распространяется правило.

   Столбец отображается, если вы используете режим распределенного решения и мультитенантности.

5. Автоматическая проверка – использование IOC-файла при автоматической проверке хостов с компонентом Endpoint Agent.

   Проверка хостов с использованием этого IOC-файла может находиться в одном из следующих состояний:

   • Включено.
   • Выключено.

Просмотр информации об IOC-файле

Чтобы просмотреть информацию об IOC-файле:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. Выберите IOC-файл, информацию о котором вы хотите просмотреть.

Откроется окно с информацией об IOC-файле.

Окно содержит следующую информацию:

• Найти обнаружения – по ссылке открывается раздел Обнаружения с условием фильтрации, содержащим имя выбранного вами IOC-файла.
• Найти события – по ссылке открывается раздел Поиск угроз с условием поиска, содержащим индикаторы компрометации выбранного вами IOC-файла.
• Скачать – по ссылке открывается окно скачивания IOC-файла.
• Автоматическая проверка – использование IOC-файла при автоматической проверке хостов с компонентом Endpoint Agent.
• Имя – имя IOC-файла.
• Важность – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого IOC-файла.

  Степень важности может иметь одно из следующих значений:

  •  – низкая важность.
  •  – средняя важность.
  •  – высокая важность.
• Область применения – отображает название тенанта и имена серверов, к которым относятся события, проверяемые по этому IOC-файлу (в режиме распределенного решения и мультитенантности).
• XML – отображает содержимое IOC-файла в формате XML.

Загрузка IOC-файла

IOC-файлы со свойствами UserItem для доменных пользователей не поддерживаются.

Чтобы загрузить IOC-файл:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. Нажмите на кнопку Импортировать.

   Откроется окно выбора файла на вашем локальном компьютере.

3. Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.
4. Укажите следующие параметры:
   1. Автоматическая проверка – использование IOC-файла при автоматической проверке хостов с компонентом Endpoint Agent:
      • Включено.
      • Выключено.
   2. Имя – имя IOC-файла.
   3. Важность – степень важности, которая будет присвоена обнаружению, произведенному с использованием этого IOC-файла:
      • Низкая.
      • Средняя.
      • Высокая.
   4. Область применения – название тенанта и имена серверов, которые вы хотите проверять с помощью этого IOC-файла (в режиме распределенного решения и мультитенантности).
5. Нажмите на кнопку Сохранить.

IOC-файл будет загружен в формате XML.

Скачивание IOC-файла на компьютер

Вы можете скачать ранее загруженный IOC-файл на компьютер.

Чтобы скачать IOC-файл на компьютер:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. Выберите IOC-файл, который вы хотите скачать.

   Откроется окно с информацией об IOC-файле.

3. В зависимости от параметров вашего браузера, по ссылке Скачать сохраните файл в папку по умолчанию или укажите папку для сохранения файла.

IOC-файл будет сохранен на компьютер в папку загрузки браузера.

Включение и отключение автоматического использования IOC-файла при проверке хостов

Вы можете включить или отключить автоматическое использование IOC-файла для поиска индикаторов компрометации на хостах с компонентом Endpoint Agent.

Чтобы включить или отключить автоматическое использование IOC-файла для поиска индикаторов компрометации на хостах с компонентом Endpoint Agent:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. В строке с IOC-файлом, использование которого вы хотите включить или отключить, в столбце Состояние переведите переключатель в одно из следующих положений:
   • Включено.
   • Выключено.

Автоматическое использование IOC-файла для поиска индикаторов компрометации на хостах с компонентом Endpoint Agent будет включено или отключено.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция включения или отключения автоматического использования IOC-файла недоступна.

Удаление IOC-файла

Чтобы удалить IOC-файл:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. Выберите IOC-файл, который вы хотите удалить.

   Откроется окно с информацией об IOC-файле.

3. Нажмите на кнопку Удалить.

IOC-файл будет удален.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция удаления IOC-файла недоступна.

Поиск обнаружений по результатам IOC-проверки

Чтобы найти и просмотреть результаты проверки по выбранному IOC-файлу:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. Выберите IOC-файл, для которого вы хотите просмотреть результаты проверки.

   Откроется окно с информацией об IOC-файле.

3. Перейдите в базу обнаружений по ссылке Найти обнаружения.

   Откроется новая вкладка браузера с таблицей найденных обнаружений.

Вы также можете просмотреть результаты проверки по всем IOC-файлам, отфильтровав обнаружения по названию технологии.

Поиск событий по IOC-файлу

Чтобы просмотреть события, найденные с помощью IOC-файла:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.

   Откроется таблица IOC-файлов.

2. Выберите IOC-файл, который вы хотите использовать для поиска событий по базе событий.

   Откроется окно с информацией об IOC-файле.

3. Перейдите в базу событий по ссылке Найти события.

   Откроется новая вкладка браузера с таблицей найденных событий.

Фильтрация и поиск IOC-файлов

Чтобы отфильтровать или найти IOC-файлы по требуемым критериям:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.
2. Откроется таблица IOC-файлов. Выполните следующие действия в зависимости от критерия фильтрации:
   • По степени важности
     1. По значку откройте окно настройки фильтрации IOC-файлов.
     2. Выберите одну или несколько из следующих степеней важности:
        • Низкая.
        • Средняя.
        • Высокая.
     3. Нажмите на кнопку Применить.
   • По имени файла
     1. По ссылке Имя откройте окно настройки фильтрации IOC-файлов.
     2. Введите один или несколько символов имени IOC-файла.
     3. Нажмите на кнопку Применить.
   • По состоянию автоматической проверки (включена / выключена)
     1. По ссылке Автоматическая проверка откройте окно настройки фильтрации IOC-файлов.
     2. Выберите один из следующих вариантов:
        • Включено.
        • Выключено.

В таблице IOC-файлов отобразятся только IOC-файлы, соответствующие заданным вами условиям.

Вы можете использовать несколько фильтров одновременно.

Сброс фильтра IOC-файлов

Чтобы сбросить фильтр IOC-файлов по одному или нескольким условиям фильтрации:

1. В окне веб-интерфейса программы выберите раздел Пользовательские правила, подраздел IOC.
2. Откроется таблица IOC-файлов.Нажмите на кнопку справа от того заголовка столбца таблицы IOC-файлов, условия фильтрации по которому вы хотите сбросить.

   Если вы хотите сбросить несколько условий фильтрации, выполните действия по сбросу каждого из условий фильтрации.

Выбранные фильтры будут сброшены.

В таблице IOC-файлов отобразятся только IOC-файлы, соответствующие заданным вами условиям.

Настройка расписания IOC-проверки

Вы можете настроить расписание поиска индикаторов компрометации с помощью IOC-файлов на хостах с компонентом Endpoint Agent.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности недоступна функция настройки расписания поиска индикаторов компрометации с помощью IOC-файлов.

Чтобы настроить расписание поиска индикаторов компрометации с помощью IOC-файлов на хостах с компонентом Endpoint Agent:

1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Endpoint Agents, блок параметров Расписание IOC-проверки.
2. В раскрывающихся списках Время запуска выберите время начала поиска индикаторов компрометации.
3. В раскрывающемся списке Максимальное время проверки выберите ограничение по времени выполнения поиска индикаторов компрометации.
4. Нажмите на кнопку Применить.

Новое расписание поиска индикаторов компрометации с помощью IOC-файлов на хостах с компонентом Endpoint Agent начнет действовать сразу после сохранения изменений. Результаты поиска индикаторов компрометации отобразятся в таблице обнаружений.

Управление поиском индикаторов компрометации с помощью IOC-файлов ограничено возможностями, доступными в веб-интерфейсе Kaspersky Anti Targeted Attack Platform. Других способов управления поиском индикаторов компрометации не предусмотрено.

Если в роли компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Security для Windows, убедитесь, что IOC-файлы соответствуют требованиям. Также вам нужно учитывать, что при добавлении типа данных RegistryItem в область поиска IOC приложение анализирует только некоторые разделы реестра.

Подробнее о требованиях к IOC-файлам и проверяемых разделах реестра см. в справке Kaspersky Endpoint Security для Windows:

• Область поиска IOC в реестре (RegistryItem).
• Требования к IOC-файлам.