Настройка параметров Поиска IOC
16 августа 2024
ID 231841
При настройке регулярной проверки устройств на наличие угроз можно задать следующие параметры: расписание, область и автоматические действия по реагированию.
Чтобы настроить параметры Поиска IOC, выполните следующие действия:
- Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
- Выберите раздел Управление безопасностью → Endpoint Detection and Response.
- Нажмите на кнопку Поиск IOC.
- Рядом с требуемым типом поиска наведите указатель на три точки по вертикали и выберите пункт Настроить параметры проверки.
Откроется окно Параметры проверки.
- В списке Расписание выберите требуемое значение:
- Не указано (по умолчанию)
Поиск IOC не выполняется.
- Каждый день
Поиск IOC запускаться не будет.
- Каждую неделю
Укажите день недели и время запуска Поиска IOC.
Пользовательский поиск будет проводиться в указанное время в часовом поясе UTC±00:00. Превентивный поиск и Реактивный поиск будут запускаться в указанное время в часовом поясе операционной системы устройства. Если защищаемое устройство не подключено к сети в указанное время, задача будет запущена, как только устройство подключится к сети.
- Не указано (по умолчанию)
- В разделе Область проверки перейдите по ссылке Редактировать и укажите список устройств, на которых будет выполняться поиск индикаторов компрометации.
Установите флажки рядом с устройствами, которые нужно добавить, и снимите флажки рядом с устройствами, которые нужно исключить. Нажмите Сохранить, чтобы сохранить изменения.
Этот параметр доступен только для проверки с типом Пользовательский поиск. Областью действия для других типов поиска (Превентивный поиск и Реактивный поиск) являются все устройства пользователей с операционной системой Windows. Ее нельзя изменить.
Все новые устройства, добавляемые в дальнейшем, будут автоматически включены в область проверки. Поэтому их можно исключить из области пользовательской проверки только вручную.
- В разделе Меры реагирования выберите действия, которые будут выполняться при обнаружении указанных угроз:
- Только обнаруживать
Событие обнаружения угрозы добавляется в журнал событий. Никаких других действий не выполняется.
- Обнаруживать и уведомлять
Событие обнаружения угрозы добавляется в журнал событий. Дополнительно выполняются выбранные действия по реагированию:
- Запустить проверку важных областей
Kaspersky Endpoint Security для Windows проверяет память ядра, запущенные процессы и загрузочные сектора диска затронутого устройства.
- Поместить копию объекта в карантин и удалить объект
Kaspersky Endpoint Security для Windows сначала создает резервную копию вредоносного объекта, обнаруженного на устройстве, на случай, если впоследствии объект потребуется восстановить. Резервная копия перемещается в карантин. Затем Kaspersky Endpoint Security для Windows удаляет объект.
- Изолировать устройство от сети
Kaspersky Endpoint Security для Windows изолирует устройство от сети, чтобы предотвратить распространение угрозы или утечку конфиденциальной информации. Чтобы настроить продолжительность изоляции, нажмите на кнопку Параметры и выберите необходимое значение.
Длительность изоляции является общей для всех трех типов поиска индикаторов компрометации. При изменении значения в параметрах одного типа поиска, оно распространится на остальные.
В качестве альтернативы можно настроить продолжительность изоляции, выбрав раздел Управление безопасностью → Endpoint Detection and Response, а затем выбрав Параметры реагирования → Сетевая изоляция.
- Запустить проверку важных областей
- Только обнаруживать
- Нажмите Сохранить, чтобы сохранить изменения.
Параметры выбранного Поиска IOC настроены.