Работа с пользовательскими правилами IOC

Вы можете использовать IOC-файлы для поиска индикаторов компрометации по базе событий и на компьютерах с компонентом Endpoint Agent. Например, если вы получили из внешних источников информацию о распространении вредоносного приложения, вы можете выполнить следующие действия:

1. Создать IOC-файл с индикаторами компрометации для вредоносного приложения и загрузить его в веб-интерфейс Kaspersky Anti Targeted Attack Platform.
2. Найти события, соответствующие условиям выбранного IOC-файла.

   Вы можете просмотреть эти события и, если вы хотите, чтобы приложение Kaspersky Anti Targeted Attack Platform формировало обнаружения по выбранным событиям, вы можете создать правило TAA (IOA).

3. Включить автоматическое использование выбранного IOC-файла для поиска индикаторов компрометации на компьютерах с компонентом Endpoint Agent.
4. Если в результате проверки компьютеров компонент Endpoint Agent обнаружит индикаторы компрометации, приложение Kaspersky Anti Targeted Attack Platform сформирует обнаружение.

   Вы можете найти эти обнаружения в таблице обнаружений с помощью фильтра по названию технологии.

5. Настроить расписание поиска индикаторов компрометации с помощью IOC-файлов на компьютерах с компонентом Endpoint Agent.

В режиме распределенного решения и мультитенантности IOC-файлы могут быть следующих типов:

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

• Локальный – IOC-файлы, загруженные на сервер SCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу SCN.
• Глобальный – IOC-файлы, загруженные на сервер PCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN.

IOC-файл представляет собой текстовый файл, сохраненный с расширением .ioc. При создании IOC-файла ознакомьтесь со списком IOC-терминов, поддерживаемых приложением, которое вы используете в роли компонента Endpoint Agent. Вы можете посмотреть список поддерживаемых IOC-терминов, скачав файлы по ссылкам ниже.

Kaspersky Endpoint Agent для Windows и Kaspersky Endpoint Security для Windows

Kaspersky Endpoint Security 12 для Linux

Kaspersky Endpoint Security 11.4 для Linux и Kaspersky Endpoint Security для Mac не поддерживают работу с IOC-файлами.

Пример IOC-файла для поиска файла по его хеш-сумме

Один IOC-файл может содержать только одно правило. Правило может быть любой сложности.

Пользователи с ролью Старший сотрудник службы безопасности могут импортировать, удалять, скачивать IOC-файлы на компьютер, включать и отключать поиск индикаторов компрометации по IOC-файлам, а также настраивать расписание поиска индикаторов компрометации на компьютерах с компонентом Endpoint Agent.

Пользователи с ролью Сотрудник службы безопасности и Аудитор могут просматривать список IOC-файлов и информацию о выбранном файле, а также экспортировать IOC-файлы на компьютер.