Parámetros de incidentes

Para la respuesta a amenazas de EDR, debe especificar los parámetros básicos de la solicitud, por ejemplo, en formato JSON:

task es el tipo de tarea (ver más abajo).
targetHost es el Id. del equipo en el que se debe ejecutar el script. Argumento requerido. El script obtiene este argumento del evento.
responseEventIncidentArea es el nombre de la aplicación que ejecutó el script (por ejemplo, KUMA). Este parámetro se agrega al nombre de la tarea creada.

Para configurar la respuesta a amenazas de EDR, debe especificar la configuración de la tarea en formato JSON en el parámetro "KLINCDT_BODY": json.dumps(data). Como resultado, la aplicación crea la [Response][KUMA] <task type> - <Date> <Time> - <ID> en la consola de Kaspersky Security Center.

Obtener archivo – getFile

Configuración de la tarea Obtener archivo

Parámetro	Tipo	Descripción
`md5hash`	`string`	Hash MD5 del archivo que desea obtener.
`sha256hash`	`string`	Hash SHA256 del archivo que desea obtener.
`path`	`string`	Ruta al archivo que desea obtener.

Ejemplo

type getFile = {

task: 'getFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

};

responseEventIncidentArea: string;

};

Eliminar archivo – deleteFile

Configuración de la tarea Eliminar archivo

Parámetro	Tipo	Descripción
`md5hash`	`string`	Hash MD5 del archivo que desea eliminar.
`sha256hash`	`string`	Hash SHA256 del archivo que desea eliminar.
`path`	`string`	Ruta al archivo que desea eliminar.
`searchInSubfolders?`	`boolean`	Busque el archivo que desea eliminar en las subcarpetas.

Ejemplo

type deleteFile = {

task: 'deleteFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

// recursive search for a file (subfolder), optional

searchInSubfolders?: boolean;

};

responseEventIncidentArea: string;

};

Poner archivo en cuarentena – quarantineFile

Configuración de la tarea Poner archivo en cuarentena

Parámetro	Tipo	Descripción
`md5hash`	`string`	Hash MD5 del archivo que desea poner en cuarentena.
`sha256hash`	`string`	Hash SHA256 del archivo que desea poner en cuarentena.
`path`	`string`	Ruta al archivo que desea poner en cuarentena.

Ejemplo

type quarantineFile = {

task: 'quarantineFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

};

responseEventIncidentArea: string;

};

Análisis de IOC – iocScan

Configuración de la tarea Análisis de IOC

Parámetro	Tipo	Descripción
`ioc`	`string`	Ruta al archivo de almacenamiento Zip con un archivo de IOC en codificación base64 que desea usar para el análisis. Argumento requerido. Ingrese este argumento manualmente.
`isolateHost`	`boolean`	Aísle el equipo de la red cuando se detecte un indicador de compromiso para evitar que la amenaza se propague.
`scanCriticalAreas`	`boolean`	Ejecute la tarea Análisis de áreas críticas cuando se detecte un indicador de compromiso.
`quarantineObject`	`boolean`	Elimine el objeto malicioso cuando se detecte un indicador de compromiso. Antes de eliminar el objeto, Kaspersky Endpoint Security crea una copia de seguridad en caso de que sea necesario restaurar el objeto más adelante. Kaspersky Endpoint Security mueve la copia de seguridad a Cuarentena.

Ejemplo

type iocScan = {

task: 'iocScan';

targetHost: string;

params: {

// the path to the zip archive with ioc files in base64 encoding

ioc: string;

// isolation of the computer from the network

isolateHost: boolean;

// critical areas scan

scanCriticalAreas: boolean;

// quarantine the file

quarantineObject: boolean;

};

responseEventIncidentArea: string;

};

Iniciar proceso – startProcess

Configuración de la tarea Iniciar proceso

Parámetro	Tipo	Descripción
`executablePath`	`string`	Ruta al archivo ejecutable que se utiliza para iniciar el proceso.
`arguments?`	`string`	Argumentos de línea de comandos adicionales para iniciar el proceso.
`workingFolder?`	`string`	Ruta de acceso a la carpeta de trabajo del proceso.

Ejemplo

type startProcess = {

task: 'startProcess';

targetHost: string;

params: {

// the path to the file

executablePath: string;

// command line arguments, optional

arguments?: string;

// a working folder, optional

workingFolder?: string;

};

responseEventIncidentArea: string;

};

Finalizar proceso – terminateProcess

Configuración de la tarea Finalizar proceso

Parámetro	Tipo	Descripción
`md5hash`	`string`	Hash MD5 del archivo cuyo proceso desea finalizar.
`sha256hash`	`string`	Hash SHA256 del archivo cuyo proceso desea finalizar.
`path`	`string`	Ruta al archivo que desea eliminar.
`caseSensitive`	`boolean`	Distinción entre mayúsculas y minúsculas al buscar el archivo.

Ejemplo

type terminateProcess = {

task: 'terminateProcess';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

// case sensitive of the file name

caseSensitive: boolean;

};

responseEventIncidentArea: string;

};

Aislamiento de la red del equipo – isolateHost

Configuración de aislamiento de la red del equipo

Parámetro	Tipo	Descripción
`action`	`string`	Hash MD5 del archivo que desea obtener.

Ejemplo

type isolateHost = {

task: 'isolateHost';

targetHost: string;

params: {

// 0 - turning off network isolation, 1 - turning on network isolation

action: number;

};

responseEventIncidentArea: string;

};

Prevención de ejecución – preventExecution

Ajustes de prevención de ejecución

Parámetro	Tipo	Descripción
`hash`	`string`	Hash MD5 del archivo que desea evitar que se ejecute.
`path`	`string`	Ruta al archivo que desea evitar que se ejecute.
`caseSensitive`	`boolean`	Distinción entre mayúsculas y minúsculas al buscar el archivo.

Ejemplo

type preventExecution = {

task: 'preventExecution';

targetHost: string;

params: {

// a valid md5 hash of the file

hash: string;

// the path to the file

path: string;

// case sensitive of the file name

caseSensitive: boolean;

};

responseEventIncidentArea: string;

};

Análisis de malware – onDemandScan

Configuración de la tarea Análisis de malware

Parámetro	Tipo	Descripción

`path`	`string`	Lista delimitada por espacios de archivos y carpetas para análisis personalizado.
`recursive`	`boolean`	Modo de análisis recursivo.
`type`	`number`	Alcance del análisis.
ScanObjectType = Enum("ScanObjectType", [ ("SystemMemory", 14), ("StartupObjectsAndRunningProcesses", 15), ("DiskBootSectors", 16), ("SystemBackupStorage", 17), ("Email", 18), ("Folder", 22), ("AllRemovableDrives", 23), ("AllNetworkDrives", 24), ("AllFixedDrives", 25)])

Ejemplo

type onDemandScan = {

task: 'onDemandScan';

targetHost: string;

// please note, this is an array

// array of scan object

params: [{

// enabling the scan object

enabled: boolean;

// an empty string or the path to the folder to scan

path: string;

// recursive scan mode

recursive: boolean;

// ID scan object

type: number;

}];

responseEventIncidentArea: string;

};

Inicio de página