Содержание
Команды управления Detection and Response
Вы можете управлять встроенными функциями решений Detection and Response из командной строки (например, Kaspersky Sandbox или Kaspersky Endpoint Detection and Response Optimum). Вы можете управлять решениями Detection and Response, если управление через консоль Kaspersky Security Center невозможно. Вы можете просмотреть список команд для управления приложением с помощью команды HELP. Чтобы получить справку по синтаксису конкретной команды, введите HELP <команда>.
Чтобы управлять встроенными функциями решений Detection and Response из командной строки, выполните следующие действия:
- Запустите интерпретатор командной строки cmd от имени администратора.
- Перейдите в папку, в которой расположен исполняемый файл Kaspersky Endpoint Security.
- Используйте следующий шаблон для выполнения команды:
avp.com <команда> [параметры]
В результате Kaspersky Endpoint Security выполнит команду (см. рис. ниже).
SANDBOX. Управление Kaspersky Sandbox
Команды управления компонентом Kaspersky Sandbox:
- Включить и выключить компонент Kaspersky Sandbox.
Компонент Kaspersky Sandbox обеспечивает взаимодействие с решением Kaspersky Sandbox.
- Настроить параметры работы компонента Kaspersky Sandbox:
- Подключить компьютер к серверам Kaspersky Sandbox.
На серверах развернуты виртуальные образы операционных систем Microsoft Windows, в которых запускаются проверяемые объекты. Вы можете ввести IP-адрес (IPv4 или IPv6) или полное доменное имя. Подробнее о развертывании виртуальных образов и конфигурации серверов Kaspersky Sandbox см. в справке Kaspersky Sandbox.
- Настроить время ожидания соединения с сервером Kaspersky Sandbox.
Время ожидания ответа на запрос о проверке объекта от сервера Kaspersky Sandbox. По истечению времени ожидания Kaspersky Sandbox перенаправляет запрос на следующий сервер. Значение времени ожидания зависит от скорости и стабильности соединения. Значение по умолчанию 5 сек.
- Настроить доверенное соединение между компьютером и серверами Kaspersky Sandbox.
Для настройки доверенного соединения с серверами Kaspersky Sandbox вам нужно подготовить TLS-сертификат. Далее вам нужно добавить сертификат на серверы Kaspersky Sandbox и в политике Kaspersky Endpoint Security. Подробнее о подготовке сертификата и добавлении сертификата на серверы см. в справке Kaspersky Sandbox.
- Подключить компьютер к серверам Kaspersky Sandbox.
- Показать текущие параметры работы компонента.
Синтаксис команды
stop sandbox [/login=<имя пользователя> /password=<пароль>]
start sandbox
sandbox /set [--tls=yes|no] [--servers=<адрес сервера>:<порт>] [--timeout=<время ожидания соединения с сервером Kaspersky Sandbox (мс)>] [--pinned-certificate=<путь к TLS-сертификату>][/login=<имя пользователя> /password=<пароль>]
sandbox /show
Операция |
|
|
Выключить компонент Kaspersky Sandbox. |
|
Включить компонент Kaspersky Sandbox. |
|
Настроить параметры работы компонента Kaspersky Sandbox. Вы можете настроить следующие параметры:
|
|
Показать текущие параметры работы компонента. В результате вы получите следующий ответ:
|
Авторизация |
|
|
Учетные данные пользователя с необходимыми разрешениями Защиты паролем. |
Пример:
|
PREVENTION. Управление Запретом запуска объектов
Выключить компонент Запрет запуска объектов или показать текущие параметры работы компонента, включая список правил запрета запуска объектов.
Синтаксис команды
prevention disable
prevention /show
В результате выполнения команды prevention /show вы получите следующий ответ:
prevention.enable=true|false
prevention.mode=audit|prevent
prevention.rules
id: <идентификатор правила>
target: script|process|document
md5: <MD5-хеш файла>
sha256: <SHA256-хеш файла>
pattern: <путь к объекту>
case-sensitive: true|false
Коды возврата команды:
-1– команда не поддерживается версией приложения, которое установлено на компьютере.0– команда выполнена успешно.1– команде не передан обязательный аргумент.2– общая ошибка.4– синтаксическая ошибка.9– неверная операция (например, попытка выключить компонент, если компонент уже выключен).
ISOLATION. Управление Сетевой изоляцией
Выключить Сетевую изоляцию компьютера или показать текущие параметры работы компонента. Параметры работы компонента также включают в себя список сетевых соединений, которые добавлены в исключения.
Синтаксис команд:
isolation /OFF /login=<имя пользователя> /password=<пароль>
isolation /STAT
В результате выполнения команды stat вы получите следующий ответ: Network isolation on|off.
RESTORE. Восстановление файлов из карантина
Восстановить файл из карантина в папку его исходного размещения. Если папка назначения удалена, приложение помещает файл специальную папку на компьютере. Далее вам нужно вручную переместить файл в папку назначения. Карантин – это специальное локальное хранилище на компьютере. Пользователь может поместить на карантин файлы, которые считает опасными для компьютера. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства. Kaspersky Endpoint Security использует карантин только при работе с решениями Kaspersky Sandbox и Kaspersky Endpoint Detection and Response. В остальных случаях Kaspersky Endpoint Security помещает файл в резервное хранилище. Подробнее о работе с карантином в составе решений см. в справке Kaspersky Sandbox, Kaspersky Endpoint Detection and Response Optimum, Kaspersky Endpoint Detection and Response Expert.
Для выполнения команды должна быть включена Защита паролем. Пользователь должен иметь разрешение Восстановление из резервного хранилища.
Объект помещается на карантин под системной учетной записью (SYSTEM).
Синтаксис команды
avp.com RESTORE [/REPLACE] <имя файла> /login=<имя пользователя> /password=<пароль>
Дополнительные параметры |
|
|
Переписать существующий файл. |
|
Имя восстанавливаемого файла. |
Авторизация |
|
|
Учетные данные пользователя с необходимыми разрешениями Защиты паролем. |
Пример:
|
Коды возврата команды:
-1– команда не поддерживается версией приложения, которое установлено на компьютере.0– команда выполнена успешно.1– команде не передан обязательный аргумент.2– общая ошибка.4– синтаксическая ошибка.
IOCSCAN. Поиск индикаторов компрометации (IOC)
Запустить задачу поиска индикаторов компрометации (IOC). Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.
Синтаксис команды
IOCSCAN <полный путь к IOC-файлу>|/path=<путь к папке с IOC-файлами> [/process=on|off] [/hint=<полный путь к исполняемому файлу процесса|полный путь к файлу>] [/registry=on|off] [/dnsentry=on|off] [/arpentry=on|off] [/ports=on|off] [/services=on|off] [/system=on|off] [/users=on|off] [/volumes=on|off] [/eventlog=on|off] [/datetime=<дата публикации события>] [/channels=<список каналов>] [/files=on|off] [/drives=<all|system|critical|custom>] [/excludes=<список исключений>][/scope=<список папок для проверки>]
IOC-файлы |
|
|
Полный путь к IOC-файлу, по которому требуется выполнить поиск. Вы можете указать несколько IOC-файлов через пробел. Полный путь к IOC-файлу следует ввести без аргумента / Например, |
|
Путь к папке с IOC-файлами, по которым требуется выполнять поиск. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC. Например, |
Тип данных для поиска IOC |
|
|
Анализ данных о процессах при поиске IOC (термин ProcessItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security проверяет данные о процессах, только если IOC-документ ProcessItem описан в переданном на проверку IOC-файле. |
|
Анализ данных о файле при поиске IOC (термины ProcessItem и FileItem). Вы можете выбрать файл следующими способами:
|
|
Анализ данных о реестре Windows при поиске IOC (термин RegistryItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security проверяет реестр Windows, только если IOC-документ RegistryItem описан в переданном на проверку IOC-файле. Для типа данных RegistryItem Kaspersky Endpoint Security анализирует определенный набор разделов реестра. |
|
Анализ данных о записях в локальном кеше DNS при поиске IOC (термин DnsEntryItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security проверяет локальный кеш DNS, только если IOC-документ DnsEntryItem описан в переданном на проверку IOC-файле. |
|
Анализ данных о записях в ARP-таблице при поиске IOC (термин ArpEntryItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security проверяет ARP-таблицу, только если IOC-документ ArpEntryItem описан в переданном на проверку IOC-файле. |
|
Анализ данных о портах, открытых на прослушивание, при поиске IOC (термин PortItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security проверяет таблицу активных соединений, только если IOC-документ PortItem описан в переданном на проверку IOC-файле. |
|
Анализ данных о службах, установленных на устройстве, при поиске IOC (термин ServiceItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security проверяет данные о службах, только если IOC-документ ServiceItem описан в переданном на проверку IOC-файле. |
|
Анализ данных об окружении при поиске IOC (термин SystemInfoItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security анализирует данные об окружении, только если IOC-документ SystemInfoItem описан в переданном на проверку IOC-файле. |
|
Анализ данных о пользователях при поиске IOC (термин UserItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о пользователях, созданных в системе, только если IOC-документ UserItem описан в переданном на проверку IOC-файле. |
|
Анализ данных о томах при поиске IOC (термин VolumeItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о томах, только если IOC-документ VolumeItem описан в переданном на проверку IOC-файле. |
|
Анализ данных о записях в журнале событий Windows при поиске IOC (термин EventLogItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security проверяет записи в журнале событий Windows, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле. |
|
Учет даты публикации события в журнале событий Windows при определении области поиска IOC для соответствующего IOC-документа. При поиске IOC Kaspersky Endpoint Security проверяет записи в журнале событий Windows, опубликованные в период с указанного времени и даты и до момента выполнения задачи. В качестве значения параметра Kaspersky Endpoint Security позволяет задать дату публикации события. Проверка будет выполняться только для событий, опубликованных в журнале событий Windows после указанной даты и до момента выполнения проверки. Если параметр не указан, Kaspersky Endpoint Security проверяет события с любой датой публикации. Параметр TaskSettings::BaseSettings::EventLogItem::datetime недоступен для редактирования. Параметр используется, только если IOC-документ EventLogItem описан в переданном на проверку IOC-файле. |
|
Список имен каналов (журналов), для которых требуется выполнить поиск IOC. Если параметр указан, Kaspersky Endpoint Security проверяет записи, опубликованные в указанных журналах. При этом в IOC-документе должен быть описан термин EventLogItem. Имя журнала задается в формате строки, в соответствии с именем журнала (канала), указанного в свойствах этого журнала (параметр Full Name) или в свойствах события (параметр <Channel></Channel> в xml-схеме события). Вы можете указать несколько каналов через пробел. Если параметр не указан, Kaspersky Endpoint Security проверяет записи для каналов |
|
Анализ данных о файлах при поиске IOC (термин FileItem). Если параметр установлен со значением Если параметр не установлен, Kaspersky Endpoint Security анализирует данные о файлах, только если IOC-документ FileItem описан в переданном на проверку IOC-файле. |
|
Область поиска IOC при анализе данных для IOC-документа FileItem. Доступны следующие значения области поиска:
Если параметр не установлен, проверка выполняется в критических областях. |
|
Область исключений при анализе данных для IOC-документа FileItem. Вы можете указать несколько путей через пробел. |
|
Пользовательская область поиска IOC при анализе данных для IOC-документа FileItem ( |
Коды возврата команды:
-1– команда не поддерживается версией приложения, которое установлено на компьютере.0– команда выполнена успешно.1– команде не передан обязательный аргумент.2– общая ошибка.4– синтаксическая ошибка.
Если команда была выполнена успешно (код 0) и в процессе выполнения были обнаружены индикаторы компрометации, Kaspersky Endpoint Security выводит в командную строку следующие данные о результатах выполнения задачи:
|
Идентификатор IOC-файла из заголовка структуры IOC-файла (тег |
|
Описание IOC-файла из заголовка структуры IOC-файла (тег |
|
Перечень идентификаторов всех сработавших индикаторов. |
|
Данные по каждому документу IOC, по которому было найдено совпадение. |
MDRLICENSE. Активация MDR
Выполнить операции с конфигурационным файлом BLOB для активации Managed Detection and Response. BLOB-файл содержит идентификатор клиента и информацию о лицензии Kaspersky Managed Detection and Response. BLOB-файл находится в ZIP-архиве конфигурационного файла MDR. Вы можете получить ZIP-архив в Консоли Kaspersky Managed Detection and Response. Подробную информацию о BLOB-файле см. в справке Kaspersky Managed Detection and Response.
Для выполнения операций с BLOB-файлом требуются права администратора. Также параметры Managed Detection and Response в политике должны быть доступны для изменения (
).
Синтаксис команды
MDRLICENSE <операция> [/login=<имя пользователя> /password=<пароль>]
Операция |
|
|
Применить конфигурационный файл BLOB для интеграции с Kaspersky Managed Detection and Response (формат файла P7). Вы можете применить только один BLOB-файл. Если BLOB-файл уже добавлен на компьютер, файл будет заменен. |
|
Удалить конфигурационный файл BLOB. |
Авторизация |
|
|
Учетные данные пользователя с необходимыми разрешениями Защиты паролем. |
Пример:
|