Поддержка

Поддержка приложений для бизнеса

Kaspersky Endpoint Security Cloud

Консоль управления Kaspersky Endpoint Security Cloud

Endpoint Detection and Response

Настройка Поиска IOC на поиск потенциальных угроз

Добавление угрозы в поиск IOC

Kaspersky Endpoint Security Cloud
База знаний Онлайн-справка
FAQ Попробовать Купить Продлить Форум Запрос в поддержку Утилиты для лечения

Добавление угрозы в поиск IOC

24 мая 2023

ID 231840

При настройке регулярной проверки наличия угроз на устройствах или после обнаружения угрозы на одном из устройств пользователей, можно добавить угрозу в поиск IOC, чтобы выполнялась проверка других устройства на наличие этой угрозы.

Для каждого Поиска IOC можно добавить не более 200 угроз.

Чтобы добавить угрозу в поиск IOC, выполните следующие действия:

  1. Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
  2. Выберите раздел Управление безопасностьюEndpoint Detection and Response.
  3. Нажмите на кнопку Поиск IOC.
  4. Добавьте угрозу одним из следующих способов:
    • Чтобы добавить угрозу в Превентивный поиск, нажмите на кнопку Добавить угрозу.
    • Чтобы добавить угрозу для любого типа проверки, нажмите на соответствующую ссылку Просмотр, а затем нажмите на кнопку Добавить.

    Откроется окно Добавить угрозу.

  5. Введите имя угрозы.
  6. При необходимости введите описание угрозы.
  7. В разделе Индикаторы компрометации (IOC) укажите индикаторы компрометации для этой угрозы:
    1. Чтобы указать несколько индикаторов компрометации, в списке Критерии обнаружения выберите критерии обнаружения (логический оператор):
      • Совпадение с ЛЮБЫМ из следующих, чтобы обнаружение возникало, если на устройстве найден хотя бы один индикатор компрометации (логический оператор ИЛИ).
      • Совпадение со ВСЕМИ следующими, чтобы обнаружение возникало, если на устройстве найдены одновременно все индикаторы компрометации (логический оператор И).
    2. В разделе Индикатор 1 выберите тип индикатора компрометации и укажите его значение.

      При добавлении раздела реестра в качестве IOC начните с куста реестра (например, HKEY_LOCAL_MACHINE\Software\Microsoft).
      При добавлении раздела реестра в качестве IOC Kaspersky Endpoint Security для Windows проверяет только отдельные разделы реестра.

    3. Чтобы добавить к угрозе больше индикаторов компрометации, нажмите + Добавить индикатор, а затем укажите следующий индикатор компрометации.

      Для каждой угрозы можно добавить не более 100 индикаторов компрометации.

  8. Нажмите Сохранить, чтобы сохранить изменения.

Угроза будет добавлена к выбранному Поиску IOC.

Kaspersky Endpoint Security Cloud — надежная защита бизнеса через облачную консоль
Защита всех устройств даже от продвинутых угроз. Получите полный контроль над облаком с функцией Cloud Discovery.
Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов
Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!