侵害の兆候の調査
IOC スキャンタスクを使用して、デバイス上の侵害の兆候を検索し、脅威への対応処理を実行できます。
侵害の兆候を検索するために、Kaspersky Endpoint Security はユーザーが準備した IOC ファイルを使用します。IOC ファイルは IOC ファイル要件に準拠する必要があります。
Web コンソールで、[IoC スキャン]タスクを作成して実行したり、その設定を編集したりできます。
- [アセット(デバイス)]→[タスク]セクション
- アセット(デバイス)→ 管理対象デバイス → <デバイス名> リンク → タスクセクション
- アラート詳細ウィンドウで操作
コマンドラインで[IOC スキャン]タスクを作成、実行、または設定することはできません。Web コンソールで作成された[IoC スキャン]タスクを、kesl-control
--get-task-list
コマンドを使用してコマンドラインで表示することはできません。
このタスクでは、スケジュール設定の Wake-on-LAN 機能は使用できません。タスクを実行するには、デバイスの電源がオンになっていることを確認してください。
[IOC スキャン]タスクの設定
設定 | 説明 |
---|---|
IOC ファイルの再設定 | このボタンで、[IOC ファイルの再設定]パネルが開きます。 [IOC ファイルの再設定]パネルにある[IOC ファイルの追加]ボタンをクリックすると、侵害の兆候を検索するために必要なデバイス上の IOC ファイルを選択してダウンロードできるウィンドウが開きます。IOC ファイルをアップロードすると、IOC ファイルからインジケーターのリストを表示できます。 |
IOC コレクションのエクスポート | このボタンをクリックすると、IOC ファイルがデバイスにダウンロードされます。 |
IOC 検知時の応答処理を適用する | このチェックボックスは、侵害の兆候が検知された場合に応答処理の適用を有効または無効にします。 チェックボックスをオンにすると、侵害の兆候が検知されると、アプリケーションは選択した処理を実行します。
チェックボックスをオフにすると、侵害の兆候が検知されてもアプリケーションは応答処理を実行しません。検知された侵害の兆候に関する情報は、[アラートの詳細]ウィンドウとタスクのプロパティに表示されます。 |
スキャン範囲 | ファイルスキャン領域(システムディスクの重要な領域と IOC からのパス)が表示されます。 |
このタスクを開始した後は、IOC ファイルを追加または削除しないことは推奨します。これにより、以前に実行したタスクの IOC スキャン結果が正しく表示されない可能性があります。新しい IOC ファイルに基づいて IOC スキャンを実行するための新しいタスクを追加することを推奨します。
IOC スキャンの結果は、[資産(デバイス)]セクション →[タスク]→[製品設定]→[IOC スキャン結果]で確認できます。
[IOC スキャン結果]セクションの表には、[IOC スキャン]タスクが実行されたデバイスのリストと、タスクの結果が含まれています。[デバイス]ドロップダウンリストでは、管理グループ内のすべての管理対象デバイスまたは特定のデバイスのタスク結果を選択できます。
表には次の列があります:
- ステータス:
侵害の兆候の検知のステータスがアイコンとして表示されます。
- ホスト。
[IOC スキャン]タスクが実行されたデバイスの名前。
- 時間。
[IOC スキャン]タスクが実行された日時
- 結果。
[IOC スキャン]タスクの結果に関する情報。完了したタスクのステータスは次のいずれかになります:
- IOC が検出されました。
このステータスはリンクとして表示され、リンクをクリックするとアラートの詳細を示すウィンドウが開きます。
- IOC は検出されませんでした
- IOC が検出されました。
タスクの結果は、[アセット(デバイス)]→[タスク]→[<タスク名>]セクションの[結果]タブの[説明]列でも確認できます。
IOC スキャンの結果は 30 日間保存されます。この時間が経過すると、Kaspersky Endpoint Security は古いエントリを自動的に削除します。