Parametry incydentu

W przypadku odpowiedzi na zagrożenia EDR konieczne jest określenie podstawowych parametrów żądania, na przykład w formacie JSON:

task jest typem zadania (patrz poniżej).
targetHost jest identyfikatorem komputera, na którym ma zostać uruchomiony skrypt. Wymagany argument. Skrypt pobiera ten argument ze zdarzenia.
responseEventIncidentArea jest nazwą aplikacji, która uruchomiła skrypt (na przykład KUMA). Ten parametr jest dodawany do nazwy tworzonego zadania.

Aby skonfigurować usługę rozpoznawania zagrożeń EDR, należy określić ustawienia zadania w formacie JSON w parametrze "KLINCDT_BODY": json.dumps(data). W rezultacie aplikacja tworzy [Response][KUMA] <task type> - <Date> <Time> - <ID> w konsoli Kaspersky Security Center.

Uzyskaj plik – getFile

Ustawienia zadania Uzyskaj plik

Parametr	Typ	Opis
`md5hash`	`string`	Skrót MD5 pliku, który chcesz uzyskać.
`sha256hash`	`string`	Skrót SHA256 pliku, który chcesz uzyskać.
`path`	`string`	Ścieżka do pliku, który chcesz uzyskać.

Na przykład

type getFile = {

task: 'getFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

};

responseEventIncidentArea: string;

};

Usuń plik – deleteFile

Ustawienia zadania Usuń plik

Parametr	Typ	Opis
`md5hash`	`string`	Skrót MD5 pliku, który chcesz usunąć.
`sha256hash`	`string`	Skrót SHA256 pliku, który chcesz usunąć.
`path`	`string`	Ścieżka do pliku, który chcesz usunąć.
`searchInSubfolders?`	`boolean`	Znajdź w podfolderach plik, który chcesz usunąć.

Na przykład

type deleteFile = {

task: 'deleteFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

// recursive search for a file (subfolder), optional

searchInSubfolders?: boolean;

};

responseEventIncidentArea: string;

};

Przenieś plik do Kwarantanny – quarantineFile

Ustawienia zadania Przenieś plik do Kwarantanny

Parametr	Typ	Opis
`md5hash`	`string`	Skrót MD5 pliku, który chcesz poddać kwarantannie.
`sha256hash`	`string`	Skrót SHA256 pliku, który chcesz poddać kwarantannie.
`path`	`string`	Ścieżka do pliku, który chcesz poddać kwarantannie.

Na przykład

type quarantineFile = {

task: 'quarantineFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

};

responseEventIncidentArea: string;

};

Skanowanie IOC – iocScan

Ustawienia zadania Skanowanie IOC

Parametr	Typ	Opis
`ioc`	`string`	Ścieżka do archiwum ZIP zawierającego plik IOC w kodowaniu base64, którego chcesz użyć do skanowania. Wymagany argument. Wprowadź ten argument ręcznie.
`isolateHost`	`boolean`	W przypadku wykrycia oznak zagrożenia należy odizolować komputer od sieci, aby zapobiec jego rozprzestrzenianiu.
`scanCriticalAreas`	`boolean`	Uruchom zadanie Skanowanie obszarów krytycznych po wykryciu oznak zagrożenia.
`quarantineObject`	`boolean`	Usuń szkodliwy obiekt po wykryciu oznak zagrożenia. Przed usunięciem obiektu Kaspersky Endpoint Security utworzy kopię zapasową w przypadku, gdy obiekt musi zostać przywrócony w późniejszym czasie. Kaspersky Endpoint Security przeniesie kopię zapasową do Kwarantanny.

Na przykład

type iocScan = {

task: 'iocScan';

targetHost: string;

params: {

// the path to the zip archive with ioc files in base64 encoding

ioc: string;

// isolation of the computer from the network

isolateHost: boolean;

// critical areas scan

scanCriticalAreas: boolean;

// quarantine the file

quarantineObject: boolean;

};

responseEventIncidentArea: string;

};

Rozpocznij proces – startProcess

Ustawienia zadania Rozpocznij proces

Parametr	Typ	Opis
`executablePath`	`string`	Ścieżka do pliku wykonywalnego używanego do uruchomienia procesu.
`arguments?`	`string`	Dodatkowe argumenty wiersza poleceń służące do uruchomienia procesu.
`workingFolder?`	`string`	Ścieżka do folderu roboczego procesu.

Na przykład

type startProcess = {

task: 'startProcess';

targetHost: string;

params: {

// the path to the file

executablePath: string;

// command line arguments, optional

arguments?: string;

// a working folder, optional

workingFolder?: string;

};

responseEventIncidentArea: string;

};

Zakończ proces – terminateProcess

Ustawienia zadania Zakończ proces

Parametr	Typ	Opis
`md5hash`	`string`	Skrót MD5 pliku, którego proces chcesz zakończyć.
`sha256hash`	`string`	Skrót SHA256 pliku, którego proces chcesz zakończyć.
`path`	`string`	Ścieżka do pliku, który chcesz usunąć.
`caseSensitive`	`boolean`	Rozróżnianie wielkości liter podczas wyszukiwania pliku.

Na przykład

type terminateProcess = {

task: 'terminateProcess';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

// case sensitive of the file name

caseSensitive: boolean;

};

responseEventIncidentArea: string;

};

Izolacja sieci komputerowej — isolateHost

Ustawienia izolacji sieci komputerowej

Parametr	Typ	Opis
`action`	`string`	Skrót MD5 pliku, który chcesz uzyskać.

Na przykład

type isolateHost = {

task: 'isolateHost';

targetHost: string;

params: {

// 0 - turning off network isolation, 1 - turning on network isolation

action: number;

};

responseEventIncidentArea: string;

};

Zapobieganie wykonywaniu — preventExecution

Ustawienia zapobiegania wykonywania

Parametr	Typ	Opis
`hash`	`string`	Skrót MD5 pliku, którego uruchomieniu chcesz zapobiec.
`path`	`string`	Ścieżka do pliku, którego uruchomieniu chcesz zapobiec.
`caseSensitive`	`boolean`	Rozróżnianie wielkości liter podczas wyszukiwania pliku.

Na przykład

type preventExecution = {

task: 'preventExecution';

targetHost: string;

params: {

// a valid md5 hash of the file

hash: string;

// the path to the file

path: string;

// case sensitive of the file name

caseSensitive: boolean;

};

responseEventIncidentArea: string;

};

Skanowanie w poszukiwaniu złośliwego oprogramowania – onDemandScan

Ustawienia zadania Skanowanie w poszukiwaniu złośliwego oprogramowania

Parametr	Typ	Opis

`path`	`string`	Rozdzielona spacjami lista plików i folderów do celów skanowania niestandardowego.
`recursive`	`boolean`	Tryb skanowania cyklicznego.
`type`	`number`	Obszar skanowania.
ScanObjectType = Enum("ScanObjectType", [ ("SystemMemory", 14), ("StartupObjectsAndRunningProcesses", 15), ("DiskBootSectors", 16), ("SystemBackupStorage", 17), ("Email", 18), ("Folder", 22), ("AllRemovableDrives", 23), ("AllNetworkDrives", 24), ("AllFixedDrives", 25)])

Na przykład

type onDemandScan = {

task: 'onDemandScan';

targetHost: string;

// please note, this is an array

// array of scan object

params: [{

// enabling the scan object

enabled: boolean;

// an empty string or the path to the folder to scan

path: string;

// recursive scan mode

recursive: boolean;

// ID scan object

type: number;

}];

responseEventIncidentArea: string;

};

Przejdź do góry