EDR 위협 대응에는 기본 요청 파라미터를 지정해야 합니다(예: JSON 형식):
task는 작업의 유형입니다(아래 참조).targetHost는 스크립트를 실행해야 하는 컴퓨터의 ID입니다. 필수 인수입니다. 스크립트는 이벤트에서 이 인수를 가져옵니다.responseEventIncidentArea는 스크립트를 실행한 애플리케이션의 이름입니다(예: KUMA). 이 파라미터는 생성된 작업의 이름에 추가됩니다.EDR 위협 대응을 구성하려면 "KLINCDT_BODY": json.dumps(data) 파라미터에 JSON 형식으로 작업 설정을 지정해야 합니다. 결과적으로 애플리케이션은 Kaspersky Security Center 콘솔에 [Response][KUMA] <task type> - <Date> <Time> - <ID> 작업을 생성합니다.
파일 가져오기 – getFile
파일 가져오기 작업 설정
파라미터 |
유형 |
설명 |
|---|---|---|
|
|
가져올 파일의 MD5 해시입니다. |
|
|
가져올 파일의 SHA256 해시입니다. |
|
|
가져올 파일의 경로입니다. |
예
type getFile = {
task: 'getFile';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
};
responseEventIncidentArea: string;
};
파일 삭제 – deleteFile
파일 삭제 작업 설정
파라미터 |
유형 |
설명 |
|---|---|---|
|
|
삭제할 파일의 MD5 해시입니다. |
|
|
삭제할 파일의 SHA256 해시입니다. |
|
|
삭제할 파일의 경로입니다. |
|
|
하위 폴더에서 삭제할 파일을 검색합니다. |
예
type deleteFile = {
task: 'deleteFile';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
// recursive search for a file (subfolder), optional
searchInSubfolders?: boolean;
};
responseEventIncidentArea: string;
};
격리 저장소로 파일 이동 – quarantineFile
격리 저장소로 파일 이동 작업 설정
파라미터 |
유형 |
설명 |
|---|---|---|
|
|
격리할 파일의 MD5 해시입니다. |
|
|
격리할 파일의 SHA256 해시입니다. |
|
|
격리할 파일의 경로입니다. |
예
type quarantineFile = {
task: 'quarantineFile';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
};
responseEventIncidentArea: string;
};
IOC 검사 – iocScan
IOC 검사 작업 설정
파라미터 |
유형 |
설명 |
|---|---|---|
|
|
검사에 사용하려는 base64 인코딩의 IOC 파일이 포함된 ZIP 압축 파일의 경로입니다. 필수 인수입니다. 이 인수를 직접 입력합니다. |
|
|
침해지표가 탐지될 때 네트워크에서 컴퓨터를 격리하여 위협 확산을 방지합니다. |
|
|
침해지표 탐지 시 중요 영역 검사 작업을 실행합니다. |
|
|
침해지표가 탐지되면 악성 개체를 삭제합니다. 개체를 삭제하기 전에 Kaspersky Endpoint Security는 나중에 개체를 복원해야 할 때를 대비하여 백업 복사본을 생성합니다. Kaspersky Endpoint Security는 백업 복사본을 격리 저장소로 이동합니다. |
예
type iocScan = {
task: 'iocScan';
targetHost: string;
params: {
// the path to the zip archive with ioc files in base64 encoding
ioc: string;
// isolation of the computer from the network
isolateHost: boolean;
// critical areas scan
scanCriticalAreas: boolean;
// quarantine the file
quarantineObject: boolean;
};
responseEventIncidentArea: string;
};
프로세스 시작 – startProcess
프로세스 시작 작업 설정
파라미터 |
유형 |
설명 |
|---|---|---|
|
|
프로세스를 시작하는 데 사용되는 실행 파일의 경로입니다. |
|
|
프로세스 시작을 위한 추가 명령줄 인수입니다. |
|
|
프로세스의 작업 폴더 경로입니다. |
예
type startProcess = {
task: 'startProcess';
targetHost: string;
params: {
// the path to the file
executablePath: string;
// command line arguments, optional
arguments?: string;
// a working folder, optional
workingFolder?: string;
};
responseEventIncidentArea: string;
};
프로세스 종료 – terminateProcess
프로세스 종료 작업 설정
파라미터 |
유형 |
설명 |
|---|---|---|
|
|
프로세스를 종료하려는 파일의 MD5 해시입니다. |
|
|
프로세스를 종료하려는 파일의 SHA256 해시입니다. |
|
|
삭제할 파일의 경로입니다. |
|
|
파일을 검색할 때 대소문자를 구분합니다. |
예
type terminateProcess = {
task: 'terminateProcess';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
// case sensitive of the file name
caseSensitive: boolean;
};
responseEventIncidentArea: string;
};
컴퓨터 네트워크 격리 – isolateHost
컴퓨터 네트워크 격리 설정
파라미터 |
유형 |
설명 |
|---|---|---|
|
|
가져올 파일의 MD5 해시입니다. |
예
type isolateHost = {
task: 'isolateHost';
targetHost: string;
params: {
// 0 - turning off network isolation, 1 - turning on network isolation
action: number;
};
responseEventIncidentArea: string;
};
실행 방지 – preventExecution
실행 방지 알림
파라미터 |
유형 |
설명 |
|---|---|---|
|
|
실행을 방지할 파일의 MD5 해시입니다. |
|
|
실행을 방지할 파일의 경로입니다. |
|
|
파일을 검색할 때 대소문자를 구분합니다. |
예
type preventExecution = {
task: 'preventExecution';
targetHost: string;
params: {
// a valid md5 hash of the file
hash: string;
// the path to the file
path: string;
// case sensitive of the file name
caseSensitive: boolean;
};
responseEventIncidentArea: string;
};
악성 코드 검사 – onDemandScan
악성 코드 검사 작업 설정
파라미터 |
유형 |
설명 |
|---|---|---|
|
|
사용자 지정 검사를 위한 파일 및 폴더를 공백으로 구분한 목록입니다. |
|
|
재귀 검사 모드. |
|
|
검사 범위. |
ScanObjectType = Enum("ScanObjectType", [ ("SystemMemory", 14), ("StartupObjectsAndRunningProcesses", 15), ("DiskBootSectors", 16), ("SystemBackupStorage", 17), ("Email", 18), ("Folder", 22), ("AllRemovableDrives", 23), ("AllNetworkDrives", 24), ("AllFixedDrives", 25)]) |
||
예
type onDemandScan = {
task: 'onDemandScan';
targetHost: string;
// please note, this is an array
// array of scan object
params: [{
// enabling the scan object
enabled: boolean;
// an empty string or the path to the folder to scan
path: string;
// recursive scan mode
recursive: boolean;
// ID scan object
type: number;
}];
responseEventIncidentArea: string;
};
맨 위로