セキュリティ侵害インジケーターのスキャン(スタンドアロンタスク)
セキュリティ侵害インジケーター(IOC)とは、コンピューターへの認証されないアクセス(コンピューターの侵害)の痕跡を示すオブジェクトまたは活動に関する一連のデータです。たとえば、システムへのログインを複数回失敗すると、セキュリティ侵害インジケーターの構成要素となります。IOC スキャンタスクは、コンピューターのセキュリティ侵害インジケーターを検索し、脅威への対応方法を確立するのに役立ちます。
Kaspersky Endpoint Security は IOC ファイルを使用して侵害インジケーターを検索します。IOC ファイルとは、本製品が検知の判断時に一致させる一連のインジケーターを含むファイルです。IOC ファイルは OpenIOC 標準に準拠している必要があります。Kaspersky Endpoint Security は自動的に Kaspersky Sandbox 向けの IOC ファイルを作成します。
IOC スキャンタスクの実行モード
Kaspersky Sandbox 向けのスタンドアロンの IOC スキャンタスクが作成されます。スタンドアロンの IOC スキャンタスクは、Kaspersky Sandboxで検知された脅威に到達した際に自動的に作成されるタスクのグループです。Kaspersky Endpoint Security は IOC ファイルを自動で作成します。カスタム IOC ファイルはサポートされていません。タスクは作成されてから 30 日が経過すると自動的に削除されます。スタンドアロンの IOC スキャンタスクについて詳しくは、Kaspersky Sandbox のヘルプを参照してください。
IOC スキャンタスクの設定
脅威への対応時に、Kaspersky Sandbox がIOC スキャンタスクを自動で作成および実行することがあります。
Web コンソールでのみ設定できます。
Kaspersky Sandbox のスタンドアロンの IOC スキャンタスクには Kaspersky Security Center 13.2 が必要です。
IOC スキャンタスクの設定を変更するには:
- Web コンソールのメインウィンドウで、[デバイス]→[タスク]の順に選択します。
タスクのリストが表示されます。
- Kaspersky Endpoint Security の[IOC スキャン]タスクを選択します。
タスクのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- [IOC スキャン設定]を選択します。
- IOC 検知時の動作の設定:
- コピーを隔離に移動し、オブジェクトを削除する:このオプションを選択した場合、Kaspersky Endpoint Security はコンピューターで検知された悪意のあるオブジェクトを削除します。オブジェクトを削除する前に、後で復元する必要があった場合に備えて Kaspersky Endpoint Security はオブジェクトのバックアップコピーを作成します。バックアップコピーは隔離に移動されます。
- 簡易スキャンを実行する:このオプションを選択した場合、Kaspersky Endpoint Security は簡易スキャンタスクを実行します。既定では、カーネルメモリ、実行中のプロセスおよびスタートアップオブジェクト、ディスクブートセクターをスキャンします。
- [コンピューターを使用していないときにのみ実行する]を使用して IOC スキャンタスクお実行モードを設定します。このチェックボックスでは、コンピューターリソースが限られているときにIOC スキャンタスクを中断する機能を有効にするか無効にするかを切り替えます。スクリーンセーバーがオフの状態でかつコンピューターのロックが解除されている場合、IOC スキャンタスクは一時停止します。
このスケジュールのオプションを使用して、コンピューター使用時のリソース消費量を抑えることができます。
- 変更内容を保存します。
[結果]のタスクのプロパティでタスクの結果を確認できます。タスクのプロパティで、次のように侵害インジケーターに関する情報を表示することができます:[アプリケーション設定] → [IOC スキャン結果]の順に選択します。
IOC スキャン結果は 30 日間保持されます。この期間を経過すると、Kaspersky Endpoint Security は最も古いデータを自動的に削除します。