Arten von Reaktionen

Alles erweitern | Alles ausblenden

MDR-SOC-Analysten untersuchen Vorfälle und erstellen Reaktionen, die Sie entweder akzeptieren oder ablehnen können. Dies ist die Standardmethode für die Bearbeitung von Vorfällen in Kaspersky Managed Detection and Response.

Sie können jedoch auch Reaktionen manuell erstellen, indem Sie die Funktionen von Kaspersky Endpoint Detection und Response Optimum verwenden.

In diesem Artikel werden nur die Reaktionsarten von SOC-Analysten beschrieben.

Jede Reaktion kann eine Reihe von Parametern aufweisen, die auf der Registerkarte Reaktionen eines Vorfalls angezeigt werden.

Die möglichen Arten von Reaktionen sind:

• Datei abrufen

  Die Kopie einer Datei aus Ihrer Infrastruktur wird an das SOC von Kaspersky gesendet. Wenn Sie diese Reaktion akzeptieren, wird einer Kopie der angegebenen Datei an das SOC von Kaspersky SOC gesendet.

  Beachten Sie, dass dieser Art von Reaktion auch Dateien mit persönlichen und/oder vertraulichen Daten abrufen kann.

  Die möglichen Parameter sind:

  • Pfad der infizierten Datei

    Der absolute Dateipfad. Beispiel: C:\\file.exe.

  • Maximale Dateigröße

    Die maximale Dateigröße in MB.

    Wenn die infizierte Datei die angegebene maximale Dateigröße überschreitet, wird der Versuch, die Reaktion zu akzeptieren, fehlschlagen und die Reaktion wird nicht durchgeführt. Sie wird aber auf der Registerkarte Verlauf des Vorfalls angezeigt.

• Isolieren

  Die angegebenen Assets werden vom Netzwerk isoliert.

  Falls Sie die Netzwerkisolation dringend deaktivieren müssen, wenden Sie sich bitte an den Technischen Support oder schreiben Sie auf der Registerkarte Kommunikation des Vorfall seine Anfrage.

  Die möglichen Parameter sind:

  • Kennwort zum Deaktivieren der Isolation

    Das Kennwort zum Deaktivieren der Isolation. Sobald der Technische Support Ihre Anfrage zur Deaktivierung der Netzwerkisolation erhält, wird er Ihnen Details zum Verfahren und zur Verwendung des Passworts zusenden.

  • Aufgaben-ID

    Die eindeutige Aufgabenkennung, die in Kombination mit dem Kennwort zum Deaktivieren der Isolation verwendet wird, um die Netzwerkisolation manuell zu deaktivieren.

  • Kennwort-Details

    Sie können die Gültigkeit des Kennworts überprüfen, indem Sie daraus einen abgeleiteten Schlüssel generieren und den resultierenden Wert mit dem Wert im Parameter Abgeleiteter Schlüssel vergleichen.

    • Version

      Die numerische Version für die Darstellung der Regeln zur Kennworterstellung. Eine Version von 1 bedeutet, dass die folgenden PBKDF2-Parameter zum Erstellen eines abgeleiteten Schlüssels verwendet werden:

      • HMACSHA256-Hash-Algorithmus
      • 10.000 Iterationen
      • 32 Byte Schlüssellänge
    • Salt

      Der Salt im HEX-Format zum Abrufen eines abgeleiteten Schlüssels über PBKDF2.

    • Abgeleiteter Schlüssel

      Der abgeleitete Schlüssel im HEX-Format.

  • Isolationsdauer für das Asset

    Der Zeitraum in Sekunden, nach dem die Isolation automatisch deaktiviert wird. Wenn kein benutzerdefinierter Zeitraum angegeben ist, wird der Standard-Zeitraum von sieben Tagen angewendet. Der Höchstwert beträgt 2.678.400 Sekunden.

  • Ausnahmeregeln

    Array von Regeln mit benutzerdefinierten Ports, Protokollen, IP-Adressen und Prozessen, auf die keine Isolation angewendet wird.

    • Richtung

      Die Richtung des Datenverkehrs. Die möglichen Werte sind: Eingehend, Ausgehend, Beide.

    • Protokoll

      Die Protokollnummer gemäß der IANA-Spezifikation.

      Die möglichen Werte sind:

      • 1 (ICMP)
      • 6 (TCP)
      • 17 (UDP)
      • 58 (IPv6-ICMP)
    • Remote-Portbereich

      Der Remote-Portbereich wird in den verschachtelten Feldern Von und Bis angegeben.

    • Remote-IPv4-Adresse

      Die entfernte IPv4-Adresse oder Subnetzmaske.

    • Remote-IPv6-Adresse

      Die entfernte IPv6-Adresse oder Subnetzmaske.

    • Lokaler Portbereich

      Der lokale Portbereich wird in den verschachtelten Feldern Von und Bis angegeben.

    • Lokale IPv4-Adresse

      Die lokale IPv4-Adresse oder Subnetzmaske.

    • Lokale IPv6-Adresse

      Die lokale IPv6-Adresse oder Subnetzmaske.

    • Prozess

      Der Pfad zum Prozess-Image wird in den verschachtelten Feldern Image → Pfad angegeben.

• Isolation deaktivieren

  Deaktivieren der Netzwerkisolation des angegebenen Assets.

• Registrierungsschlüssel löschen

  Löschen eines Registrierungsschlüssels oder eines Unterabschnitts der Registrierung für das angegebene Asset.

  Die möglichen Parameter sind:

  • Schlüssel

    Der absolute Schlüsselpfad, der mit HKEY_LOCAL_MACHINE oder HKEY_USERS beginnt. Beispiel: HKEY_LOCAL_MACHINE\\SYSTEM\\WebClient.

    Wenn der Schlüssel ein symbolischer Link ist, wird nur dieser Schlüssel gelöscht, während der Zielschlüssel des Links intakt bleibt.

  • Wert

    Der Schlüsselwert.

    Wird dieser Parameter nicht angegeben, wird der Schlüssel rekursiv gelöscht. Beim rekursiven Löschen wird jeder Unterschlüssel, der ein symbolischer Link ist, gelöscht, während sein Zielschlüssel intakt bleibt.

    Wenn der Schlüsselwert eine leere Zeichenfolge ist, wird der Standardwert gelöscht.

• Speicher-Dump

  Erstellen eines Speicher-Dumps und Senden des Dumps an das SOC von Kaspersky.

  Die möglichen Parameter sind:

  • Typ des Dumps

    Ein Speicher-Dump kann einem von zwei Typen entsprechen:

    • Vollständiger Speicher-Dump

      Ein Abbild des gesamten Speichers eines Assets.

    • Prozess-Dump

      Ein Abbild eines angegebenen Prozesses.

  • Maximale Dateigröße

    Die maximale Dateigröße für den Dump im zip-Format in MB. Der Standardwert ist 100 MB.

  • Prozess

    Die Prozess-ID und Image-Details.

    • Image
      • Pfad

        Der absolute Dateipfad. Beispiel: %systemroot%\\system32\\svchost.exe.

      • SHA-256

        Die SHA256-Prüfsumme im HEX-Format.

      • MD5

        Die MD5-Prüfsumme im HEX-Format.

    • Einmalige ID

      Die eindeutige Prozesskennung.

  • Maximale Anzahl an Prozessen

    Die maximale Anzahl von Prozessen, die in der Dump-Datei enthalten sein können.

• Prozess beenden

  Beenden eines Prozesses auf einem angegebenen Asset mit Kaspersky Endpoint Security für Windows. Der zu beendende Prozess kann durch seinen Namen oder die Prozesskennung (PID) angegeben werden.