Kaspersky Anti Targeted Attack (KATA) Platform

Работа с пользовательскими правилами IOC

14 мая 2024

ID 247421

Вы можете использовать IOC-файлы для поиска индикаторов компрометации по базе событий и на компьютерах с компонентом Endpoint Agent. Например, если вы получили из внешних источников информацию о распространении вредоносного приложения, вы можете выполнить следующие действия:

  1. Загрузить в веб-интерфейс Kaspersky Anti Targeted Attack Platform IOC-файл с индикаторами компрометации для вредоносного приложения.
  2. Найти события, соответствующие условиям выбранного IOC-файла.

    Вы можете просмотреть эти события и, если вы хотите, чтобы приложение Kaspersky Anti Targeted Attack Platform формировало обнаружения по выбранным событиям, вы можете создать правило TAA (IOA).

  3. Включить автоматическое использование выбранного IOC-файла для поиска индикаторов компрометации на компьютерах с компонентом Endpoint Agent.

    Если в результате проверки компьютеров компонент Endpoint Agent обнаружит индикаторы компрометации, приложение Kaspersky Anti Targeted Attack Platform сформирует обнаружение.

  4. Настроить расписание поиска индикаторов компрометации с помощью IOC-файлов на компьютерах с компонентом Endpoint Agent.

В режиме распределенного решения и мультитенантности IOC-файлы могут быть следующих типов:

  • Локальный – IOC-файлы, загруженные на сервер SCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу SCN.
  • Глобальный – IOC-файлы, загруженные на сервер PCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN.

При создании IOC-файла ознакомьтесь со списком IOC-терминов, поддерживаемых приложением, которое вы используете в роли компонента Endpoint Agent. Вы можете посмотреть список поддерживаемых IOC-терминов, скачав файлы по ссылкам ниже.

icon_download_file_from_help Kaspersky Endpoint Agent для Windows и Kaspersky Endpoint Security для Windows

icon_download_file_from_help Kaspersky Endpoint Security 12 для Linux

Kaspersky Endpoint Security 11.4 для Linux не поддерживает работу с IOC-файлами.

Пользователи с ролью Старший сотрудник службы безопасности могут импортировать, удалять, скачивать IOC-файлы на компьютер, включать и отключать поиск индикаторов компрометации по IOC-файлам, а также настраивать расписание поиска индикаторов компрометации на компьютерах с компонентом Endpoint Agent.

Пользователи с ролью Сотрудник службы безопасности и Аудитор могут просматривать список IOC-файлов и информацию о выбранном файле, а также экспортировать IOC-файлы на компьютер.

В этом разделе

Просмотр таблицы IOC-файлов

Просмотр информации об IOC-файле

Загрузка IOC-файла

Скачивание IOC-файла на компьютер

Включение и отключение автоматического использования IOC-файла при проверке хостов

Удаление IOC-файла

Поиск обнаружений по результатам IOC-проверки

Поиск событий по IOC-файлу

Фильтрация и поиск IOC-файлов

Сброс фильтра IOC-файлов

Настройка расписания IOC-проверки

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!