Работа с пользовательскими правилами IOC

Вы можете использовать IOC-файлы для поиска индикаторов компрометации по базе событий и на компьютерах с установленной программой Kaspersky Endpoint Agent. Например, если вы получили из внешних источников информацию о распространении вредоносной программы, вы можете выполнить следующие действия:

1. Загрузить в веб-интерфейс Kaspersky Anti Targeted Attack Platform IOC-файл с индикаторами компрометации для вредоносной программы.
2. Найти события, соответствующие условиям выбранного IOC-файла.

   Вы можете просмотреть эти события и, если вы хотите, чтобы программа Kaspersky Anti Targeted Attack Platform формировала обнаружения по выбранным событиям, вы можете создать правило TAA (IOA).

3. Включить автоматическое использование выбранного IOC-файла для поиска индикаторов компрометации на компьютерах с программой Kaspersky Endpoint Agent.

   Если в результате проверки компьютеров программа Kaspersky Anti Targeted Attack Platform обнаружит индикаторы компрометации, программа Kaspersky Anti Targeted Attack Platform сформирует обнаружение.

4. Настроить расписание поиска индикаторов компрометации с помощью IOC-файлов на компьютерах с программой Kaspersky Endpoint Agent.

IOC-файлы могут быть следующих типов:

• Локальный – IOC-файлы, загруженные на сервер SCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу SCN.
• Глобальный – IOC-файлы, загруженные на сервер PCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN.

Вы можете ознакомиться со списком поддерживаемых индикаторов компрометации открытого стандарта OpenIOC, скачав файл.

Пользователи с ролью Старший сотрудник службы безопасности могут импортировать, удалять, скачивать IOC-файлы на компьютер, включать и отключать поиск индикаторов компрометации по IOC-файлам, а также настраивать расписание поиска индикаторов компрометации на компьютерах с установленной программой Kaspersky Endpoint Agent.

Пользователи с ролью Сотрудник службы безопасности и Аудитор могут просматривать список IOC-файлов и информацию о выбранном файле, а также экспортировать IOC-файлы на компьютер.

В этом разделе справки Просмотр таблицы IOC-файлов Просмотр информации об IOC-файле Загрузка IOC-файла Скачивание IOC-файла на компьютер Включение и отключение автоматического использования IOC-файла при проверке хостов Удаление IOC-файла Поиск обнаружений по результатам IOC-проверки Поиск событий по IOC-файлу Фильтрация и поиск IOC-файлов Сброс фильтра IOC-файлов Настройка расписания IOC-проверки

В начало