Per EDR Threat Response, è necessario specificare i parametri di base della richiesta, ad esempio in formato JSON:
task è il tipo di attività (vedere di seguito).targetHost è l'ID del computer in cui è necessario eseguire lo script. Argomento richiesto. Lo script ottiene questo argomento dall'evento.responseEventIncidentArea è il nome dell'applicazione che ha eseguito lo script (ad esempio KUMA). Questo parametro viene aggiunto al nome dell'attività creata.Per configurare EDR Threat Response, è necessario specificare le impostazioni dell'attività in formato JSON nel parametro "KLINCDT_BODY": json.dumps(data). In seguito a questa operazione, l'applicazione crea [Response][KUMA] <task type> - <Date> <Time> - <ID> nella console di Kaspersky Security Center.
Ottieni file – getFile
Impostazioni attività di Ottieni file
Parametro |
Tipo |
Descrizione |
|---|---|---|
|
|
Hash MD5 del file che si desidera ottenere. |
|
|
Hash SHA256 del file che si desidera ottenere. |
|
|
Percorso del file che si desidera ottenere. |
Esempio
type getFile = {
task: 'getFile';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
};
responseEventIncidentArea: string;
};
Elimina il file – deleteFile
Impostazioni attività di Elimina il file
Parametro |
Tipo |
Descrizione |
|---|---|---|
|
|
Hash MD5 del file che si desidera eliminare. |
|
|
Hash SHA256 del file che si desidera eliminare. |
|
|
Percorso del file che si desidera eliminare. |
|
|
Cercare il file che si desidera eliminare nelle sottocartelle. |
Esempio
type deleteFile = {
task: 'deleteFile';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
// recursive search for a file (subfolder), optional
searchInSubfolders?: boolean;
};
responseEventIncidentArea: string;
};
Sposta file in Quarantena – quarantineFile
Impostazioni attività di Sposta file in Quarantena
Parametro |
Tipo |
Descrizione |
|---|---|---|
|
|
Hash MD5 del file che si desidera mettere in quarantena. |
|
|
Hash SHA256 del file che si desidera mettere in quarantena. |
|
|
Percorso del file che si desidera mettere in quarantena. |
Esempio
type quarantineFile = {
task: 'quarantineFile';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
};
responseEventIncidentArea: string;
};
Scansione IOC – iocScan
Impostazioni attività di Scansione IOC
Parametro |
Tipo |
Descrizione |
|---|---|---|
|
|
Percorso dell'archivio ZIP con un file IOC con codifica base64 che si desidera utilizzare per la scansione. Argomento richiesto. Immettere questo argomento manualmente. |
|
|
Isolare il computer dalla rete quando viene rilevato un indicatore di compromissione per prevenire la diffusione della minaccia. |
|
|
Eseguire l'attività Scansione delle aree critiche quando viene rilevato un indicatore di compromissione. |
|
|
Eliminare l'oggetto dannoso quando viene rilevato un indicatore di compromissione. Prima di eliminare l'oggetto, Kaspersky Endpoint Security crea una copia di backup nel caso in cui sia necessario ripristinare l'oggetto in un secondo momento. Kaspersky Endpoint Security sposta la copia di backup in Quarantena. |
Esempio
type iocScan = {
task: 'iocScan';
targetHost: string;
params: {
// the path to the zip archive with ioc files in base64 encoding
ioc: string;
// isolation of the computer from the network
isolateHost: boolean;
// critical areas scan
scanCriticalAreas: boolean;
// quarantine the file
quarantineObject: boolean;
};
responseEventIncidentArea: string;
};
Avvia processo – startProcess
Impostazioni attività di Avvia processo
Parametro |
Tipo |
Descrizione |
|---|---|---|
|
|
Percorso del file eseguibile utilizzato per avviare il processo. |
|
|
Argomenti della riga di comando aggiuntivi per l'avvio del processo. |
|
|
Percorso della cartella di lavoro del processo. |
Esempio
type startProcess = {
task: 'startProcess';
targetHost: string;
params: {
// the path to the file
executablePath: string;
// command line arguments, optional
arguments?: string;
// a working folder, optional
workingFolder?: string;
};
responseEventIncidentArea: string;
};
Termina processo – terminateProcess
Impostazioni attività di Termina processo
Parametro |
Tipo |
Descrizione |
|---|---|---|
|
|
Hash MD5 del file per cui si desidera arrestare il processo. |
|
|
Hash SHA256 del file per cui si desidera arrestare il processo. |
|
|
Percorso del file che si desidera eliminare. |
|
|
Fare distinzione tra maiuscole e minuscole durante la ricerca del file. |
Esempio
type terminateProcess = {
task: 'terminateProcess';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
// case sensitive of the file name
caseSensitive: boolean;
};
responseEventIncidentArea: string;
};
Isolamento di rete del computer - isolateHost
Impostazioni di isolamento di rete del computer
Parametro |
Tipo |
Descrizione |
|---|---|---|
|
|
Hash MD5 del file che si desidera ottenere. |
Esempio
type isolateHost = {
task: 'isolateHost';
targetHost: string;
params: {
// 0 - turning off network isolation, 1 - turning on network isolation
action: number;
};
responseEventIncidentArea: string;
};
Prevenzione dell'esecuzione - preventExecution
Impostazioni di Prevenzione dell'esecuzione
Parametro |
Tipo |
Descrizione |
|---|---|---|
|
|
Hash MD5 del file di cui si desidera impedire l'esecuzione. |
|
|
Percorso del file di cui si desidera impedire l'esecuzione. |
|
|
Fare distinzione tra maiuscole e minuscole durante la ricerca del file. |
Esempio
type preventExecution = {
task: 'preventExecution';
targetHost: string;
params: {
// a valid md5 hash of the file
hash: string;
// the path to the file
path: string;
// case sensitive of the file name
caseSensitive: boolean;
};
responseEventIncidentArea: string;
};
Scansione malware – onDemandScan
Impostazioni attività di Scansione malware
Parametro |
Tipo |
Descrizione |
|---|---|---|
|
|
Elenco di file e cartelle delimitato da spazi per Scansione personalizzata. |
|
|
Modalità di scansione ricorsiva. |
|
|
Ambito della scansione. |
ScanObjectType = Enum("ScanObjectType", [ ("SystemMemory", 14), ("StartupObjectsAndRunningProcesses", 15), ("DiskBootSectors", 16), ("SystemBackupStorage", 17), ("Email", 18), ("Folder", 22), ("AllRemovableDrives", 23), ("AllNetworkDrives", 24), ("AllFixedDrives", 25)]) |
||
Esempio
type onDemandScan = {
task: 'onDemandScan';
targetHost: string;
// please note, this is an array
// array of scan object
params: [{
// enabling the scan object
enabled: boolean;
// an empty string or the path to the folder to scan
path: string;
// recursive scan mode
recursive: boolean;
// ID scan object
type: number;
}];
responseEventIncidentArea: string;
};
Inizio pagina