Parámetros de incidentes

Para la Respuesta ante amenazas de EDR, debe especificar parámetros de solicitud básicos; por ejemplo, en formato JSON:

task es el tipo de tarea (consulte a continuación).
targetHost es el ID del equipo en el que se debe ejecutar el script. Argumento requerido. El script obtiene este argumento del evento.
responseEventIncidentArea es el nombre de la aplicación que ejecutó el script (por ejemplo, KUMA). Este parámetro se añade al nombre de la tarea creada.

Para configurar la Respuesta ante amenazas de EDR, debe especificar la configuración de la tarea en formato JSON en el parámetro "KLINCDT_BODY": json.dumps(data). Como resultado, la aplicación crea el [Response][KUMA] <task type> - <Date> <Time> - <ID> en la consola de Kaspersky Security Center.

Obtener archivo – getFile

Configuración de la tarea Obtener archivo

Parámetro	Tipo	Descripción
`md5hash`	`string`	Hash MD5 del archivo que desea obtener.
`sha256hash`	`string`	Hash SHA256 del archivo que desea obtener.
`path`	`string`	Ruta al archivo que desea obtener.

Ejemplo

type getFile = {

task: 'getFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

};

responseEventIncidentArea: string;

};

Eliminar archivo – deleteFile

Configuración de la tarea Eliminar archivo

Parámetro	Tipo	Descripción
`md5hash`	`string`	Hash MD5 del archivo que desea eliminar.
`sha256hash`	`string`	Hash SHA256 del archivo que desea eliminar.
`path`	`string`	Ruta al archivo que desea eliminar.
`searchInSubfolders?`	`boolean`	Busca el archivo que desea eliminar en subcarpetas.

Ejemplo

type deleteFile = {

task: 'deleteFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

// recursive search for a file (subfolder), optional

searchInSubfolders?: boolean;

};

responseEventIncidentArea: string;

};

Mover archivo a Cuarentena – quarantineFile

Configuración de la tarea Mover archivo a Cuarentena

Parámetro	Tipo	Descripción
`md5hash`	`string`	Hash MD5 del archivo que desea poner en cuarentena.
`sha256hash`	`string`	Hash SHA256 del archivo que desea poner en cuarentena.
`path`	`string`	Ruta al archivo que desea poner en cuarentena.

Ejemplo

type quarantineFile = {

task: 'quarantineFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

};

responseEventIncidentArea: string;

};

Análisis de IOC – iocScan

Configuración de la tarea Análisis de IOC

Parámetro	Tipo	Descripción
`ioc`	`string`	Ruta al archivo ZIP con un archivo IOC en codificación base64 que desee usar para el análisis. Argumento requerido. Introduzca este argumento manualmente.
`isolateHost`	`boolean`	Aísle el equipo de la red cuando se detecte un indicador de peligro para evitar que la amenaza se propague.
`scanCriticalAreas`	`boolean`	Ejecute la tarea Análisis de áreas críticas cuando se detecte un indicador de compromiso.
`quarantineObject`	`boolean`	Elimine el objeto malicioso cuando se detecte un indicador de compromiso. Antes de eliminar el objeto, Kaspersky Endpoint Security crea una copia de seguridad en caso de que sea necesario restaurar el objeto más adelante. Kaspersky Endpoint Security mueve la copia de seguridad a la cuarentena.

Ejemplo

type iocScan = {

task: 'iocScan';

targetHost: string;

params: {

// the path to the zip archive with ioc files in base64 encoding

ioc: string;

// isolation of the computer from the network

isolateHost: boolean;

// critical areas scan

scanCriticalAreas: boolean;

// quarantine the file

quarantineObject: boolean;

};

responseEventIncidentArea: string;

};

Iniciar proceso – startProcess

Configuración de la tarea Iniciar proceso

Parámetro	Tipo	Descripción
`executablePath`	`string`	Ruta al archivo ejecutable que se utiliza para iniciar el proceso.
`arguments?`	`string`	Argumentos de línea de comandos adicionales para iniciar el proceso.
`workingFolder?`	`string`	Ruta a la carpeta de trabajo del proceso.

Ejemplo

type startProcess = {

task: 'startProcess';

targetHost: string;

params: {

// the path to the file

executablePath: string;

// command line arguments, optional

arguments?: string;

// a working folder, optional

workingFolder?: string;

};

responseEventIncidentArea: string;

};

Terminar proceso – terminateProcess

Configuración de la tarea Terminar proceso

Parámetro	Tipo	Descripción
`md5hash`	`string`	Hash MD5 del archivo cuyo proceso desea finalizar.
`sha256hash`	`string`	Hash SHA256 del archivo cuyo proceso desea finalizar.
`path`	`string`	Ruta al archivo que desea eliminar.
`caseSensitive`	`boolean`	Distinción de mayúsculas y minúsculas al buscar el archivo.

Ejemplo

type terminateProcess = {

task: 'terminateProcess';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

// case sensitive of the file name

caseSensitive: boolean;

};

responseEventIncidentArea: string;

};

Aislamiento de equipos de la red – isolateHost

Configuración del aislamiento de equipos de la red

Parámetro	Tipo	Descripción
`action`	`string`	Hash MD5 del archivo que desea obtener.

Ejemplo

type isolateHost = {

task: 'isolateHost';

targetHost: string;

params: {

// 0 - turning off network isolation, 1 - turning on network isolation

action: number;

};

responseEventIncidentArea: string;

};

Prevención de ejecución – preventExecution

Configuración de prevención de ejecución

Parámetro	Tipo	Descripción
`hash`	`string`	Hash MD5 del archivo cuya ejecución desea evitar.
`path`	`string`	Ruta al archivo cuya ejecución desea evitar.
`caseSensitive`	`boolean`	Distinción de mayúsculas y minúsculas al buscar el archivo.

Ejemplo

type preventExecution = {

task: 'preventExecution';

targetHost: string;

params: {

// a valid md5 hash of the file

hash: string;

// the path to the file

path: string;

// case sensitive of the file name

caseSensitive: boolean;

};

responseEventIncidentArea: string;

};

Análisis antimalware – onDemandScan

Configuración de la tarea Análisis antimalware

Parámetro	Tipo	Descripción

`path`	`string`	Lista delimitada por espacios de archivos y carpetas para análisis personalizado.
`recursive`	`boolean`	Modo de análisis recursivo.
`type`	`number`	Cobertura del análisis.
ScanObjectType = Enum("ScanObjectType", [ ("SystemMemory", 14), ("StartupObjectsAndRunningProcesses", 15), ("DiskBootSectors", 16), ("SystemBackupStorage", 17), ("Email", 18), ("Folder", 22), ("AllRemovableDrives", 23), ("AllNetworkDrives", 24), ("AllFixedDrives", 25)])

Ejemplo

type onDemandScan = {

task: 'onDemandScan';

targetHost: string;

// please note, this is an array

// array of scan object

params: [{

// enabling the scan object

enabled: boolean;

// an empty string or the path to the folder to scan

path: string;

// recursive scan mode

recursive: boolean;

// ID scan object

type: number;

}];

responseEventIncidentArea: string;

};

Inicio de página