Configuración de análisis de IoC para detectar posibles amenazas

Mediante el uso de análisis de IoC, puede configurar la búsqueda regular de indicadores de vulneración (IoC) en los dispositivos y las medidas de respuesta automática que se deben tomar si se detectan los IoC.

Puede definir la configuración de tres análisis de IoC:

• Análisis proactivo

  Si encuentra en algún lugar (por ejemplo, en Internet) que una determinada amenaza se caracteriza por un conjunto de IoC, puede agregar estos IoC al análisis para examinar los dispositivos de sus usuarios.

  El alcance del análisis son todos los dispositivos de sus usuarios que ejecutan Windows. No se puede modificar. Todos los dispositivos nuevos que se agreguen en el futuro se incluirán automáticamente en el alcance del análisis.

• Análisis reactivo

  Si Kaspersky Next detecta una amenaza en uno de los dispositivos de sus usuarios, puede agregar los IoC de esa amenaza al análisis para examinar otros dispositivos.

  El alcance del análisis son todos los dispositivos de sus usuarios que ejecutan Windows. No se puede modificar. Todos los dispositivos nuevos que se agreguen en el futuro se incluirán automáticamente en el alcance del análisis.

• Análisis personalizado

  Puede agregar cualquier amenaza a este análisis para examinar los dispositivos de sus usuarios.

  El alcance del análisis es una selección personalizada de los dispositivos de sus usuarios que ejecutan Windows. Todos los dispositivos nuevos que se agreguen en el futuro se incluirán automáticamente en el alcance del análisis.

Más adelante, cuando analice las alertas sobre las detecciones de Endpoint Protection Platform (EPP) en los dispositivos de sus usuarios, es posible que desee agregar los IoC detectados a la configuración del Análisis reactivo para examinar otros dispositivos en busca de la misma amenaza.

Para configurar los análisis de IoC, haga lo siguiente:

1. Abra la Consola de administración de Kaspersky Next.
2. Seleccione la sección Administración de la seguridad → Endpoint Detection and Response.
3. Haga clic en el botón Análisis de IoC.
4. En la ventana Análisis de IoC que se abre, defina la configuración de los análisis de IoC requeridos.
5. Haga clic en Cerrar para cerrar la ventana Análisis de IoC.

Los análisis de IoC están configurados.

Incorporación de una amenaza a un análisis de IoC

Durante la configuración de los análisis regulares para detectar amenazas en los dispositivos o después de que ya se haya detectado una amenaza en uno de los dispositivos de sus usuarios, puede agregar una amenaza a un análisis de IoC con el fin de examinar otros dispositivos en busca de esa amenaza.

Puede agregar un máximo de 200 amenazas a cada análisis de IoC.

Para agregar una amenaza a un análisis de IoC, haga lo siguiente:

1. Abra la Consola de administración de Kaspersky Next.
2. Seleccione la sección Administración de la seguridad → Endpoint Detection and Response.
3. Haga clic en el botón Análisis de IoC.
4. Agregue una amenaza de cualquiera de las siguientes maneras:
   • Para agregar una amenaza al Análisis proactivo, haga clic en el botón Agregar una amenaza.
   • Para agregar una amenaza a cualquier análisis, haga clic en el enlace Ver en el respectivo mosaico y luego haga clic en el botón Agregar.

   Se abre la ventana Agregar una amenaza.

5. Ingrese el nombre de la amenaza.
6. Si es necesario, ingrese la descripción de la amenaza.
7. En Indicadores de vulneración (IoC), especifique los IoC de esta amenaza:
   1. Si planea especificar dos o más IoC, seleccione los criterios de detección (el operador lógico) en la lista Criterios de detección:
      • Coincidencia con CUALQUIERA de los siguientes elementos, si desea que se produzca una alerta cuando se encuentra al menos uno de los IoC en un dispositivo (el operador lógico OR).
      • Coincidencia con TODOS los siguientes elementos, si desea que se produzca una alerta solo cuando se encuentran todos los IoC en un dispositivo simultáneamente (el operador lógico AND).
   2. En Indicador 1, seleccione el tipo de IoC y especifique su valor.

      Al agregar una clave de registro como IoC, comience desde un subárbol de registro (por ejemplo, HKEY_LOCAL_MACHINE\Software\Microsoft).
      Cuando agrega una clave de registro como IoC, Kaspersky Endpoint Security para Windows analiza solo algunas de las claves de registro.

   3. Si desea agregar más IoC a la amenaza, haga clic en + Agregar un indicador y luego especifique otro IoC.

      Puede agregar un máximo de 100 IoC a cada amenaza.

8. Haga clic en Guardar para guardar los cambios.

La amenaza se agrega al análisis de IoC seleccionado.

Alcance del análisis de IoC en el registro

Al analizar el registro en busca de amenazas, Kaspersky Endpoint Security para Windows analiza solo las claves de registro que son más vulnerables a los ataques.

Cuando agrega una clave de registro como IoC, Kaspersky Next verifica el valor ingresado y acepta solo las claves de registro que comienzan con los siguientes valores:

HKEY_CLASSES_ROOT\htafile

HKEY_CLASSES_ROOT\batfile

HKEY_CLASSES_ROOT\exefile

HKEY_CLASSES_ROOT\comfile

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print\Monitors

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\NetworkProvider

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

HKEY_LOCAL_MACHINE\Software\Classes\piffile

HKEY_LOCAL_MACHINE\Software\Classes\htafile

HKEY_LOCAL_MACHINE\Software\Classes\exefile

HKEY_LOCAL_MACHINE\Software\Classes\comfile

HKEY_LOCAL_MACHINE\Software\Classes\CLSID

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Aedebug

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Definición de la configuración de un análisis de IoC

Cuando configure un análisis regular para detectar amenazas en los dispositivos, puede definir la configuración del análisis: programación, alcance y medidas de respuesta automática.

Para definir la configuración de un análisis de IoC, haga lo siguiente:

1. Abra la Consola de administración de Kaspersky Next.
2. Seleccione la sección Administración de la seguridad → Endpoint Detection and Response.
3. Haga clic en el botón Análisis de IoC.
4. En el mosaico del análisis requerido, seleccione los puntos suspensivos verticales y luego haga clic en Definir la configuración del análisis.

   Se abre la ventana Configuración de análisis.

5. En la lista Programar, seleccione el valor requerido:
   • Sin especificar (de manera predeterminada)

     El análisis de IoC nunca se ejecuta.

   • Cada día

     Especifique la hora a la que debe ejecutarse el análisis de IoC.

   • Cada semana

     Especifique el día y la hora de la semana en que se debe ejecutar el análisis de IoC.

   Análisis personalizado se ejecutará a la hora especificada en la zona horaria UTC±00:00. Análisis proactivo y el Análisis reactivo se ejecutarán a la hora especificada en la zona horaria del sistema operativo del dispositivo. Si un dispositivo protegido está desconectado a la hora programada, la tarea se ejecutará cuando el dispositivo se conecte.

6. En Alcance del análisis, haga clic en el enlace Editar para especificar la lista de dispositivos en los que se debe ejecutar el análisis de IoC.

   Seleccione las casillas de verificación junto a los dispositivos que se incluyen y desmarque las casillas de verificación junto a los dispositivos que se excluyen. Haga clic en Guardar para guardar los cambios.

   Esta configuración solo está disponible para el Análisis personalizado. Para otros análisis (Análisis proactivo y Análisis reactivo), el alcance son todos los dispositivos de sus usuarios que ejecutan Windows. No se puede modificar.

   Todos los dispositivos nuevos que se agreguen en el futuro se incluirán automáticamente en el alcance del análisis. Por lo tanto, si desea excluirlos del alcance del análisis personalizado, debe hacerlo manualmente.

7. En Acciones de respuesta, seleccione las acciones de respuesta que se deben tomar si se detectan las amenazas especificadas:
   • Solo alerta

     El evento de detección de una amenaza se agrega al registro de eventos. No se toman otras acciones.

   • Alerta y respuesta

     El evento de detección de una amenaza se agrega al registro de eventos. Además, se toman las acciones de respuesta seleccionadas:

     • Analizar áreas esenciales

       Kaspersky Endpoint Security para Windows analiza la memoria Kernel, los procesos en ejecución y los sectores de arranque del disco de un dispositivo afectado.

     • Enviar copia a Cuarentena y eliminar objeto

       Kaspersky Endpoint Security para Windows primero crea una copia de seguridad del objeto malicioso que se encontró en el dispositivo, en caso de que sea necesario restaurar el objeto más adelante. La copia de seguridad se envía a Cuarentena. Luego, Kaspersky Endpoint Security para Windows elimina el objeto.

     • Aislar el dispositivo de la red

       Kaspersky Endpoint Security para Windows aísla el dispositivo de la red para evitar que la amenaza se propague o que se filtre información confidencial. Para configurar la duración del aislamiento, haga clic en Configuración y seleccione el valor requerido.

       La duración del aislamiento es común para los tres análisis de IoC. Si cambia el valor en la configuración de un análisis, se propagará a otros análisis.
       Como alternativa, puede configurar la duración del aislamiento seleccionando la sección Administración de la seguridad → Endpoint Detection and Response y, a continuación, haciendo clic en Configuración de las respuestas → Aislamiento de la red.

8. Haga clic en Guardar para guardar los cambios.

Se define la configuración del análisis de IoC seleccionado.

Restablecimiento de la configuración de un análisis de IoC a los valores predeterminados

Si es necesario, puede restablecer la configuración de cualquier análisis regular para detectar amenazas a los valores predeterminados. Puede restablecer la programación, el alcance y las acciones de respuesta del análisis. El conjunto de amenazas que se analizan no cambia.

Para restablecer la configuración del análisis de IoC a los valores predeterminados, haga lo siguiente:

1. Abra la Consola de administración de Kaspersky Next.
2. Seleccione la sección Administración de la seguridad → Endpoint Detection and Response.
3. Haga clic en el botón Análisis de IoC.
4. En el mosaico del análisis requerido, seleccione los puntos suspensivos verticales y luego haga clic en Restablecer configuración predeterminada.
5. En la ventana Restablecer configuración predeterminada que se abre, haga clic en el botón Confirmar para confirmar la acción.

La configuración del análisis de IoC seleccionado se restablece a los valores predeterminados.