Olay parametreleri

EDR Tehdit Yanıtı için, örneğin JSON biçiminde temel istek parametrelerini belirtmeniz gerekir:

task görevin türüdür (aşağıya bakın).
targetHost komut dizisinin çalıştırılacağı bilgisayarın kimliğidir. Gerekli argüman. Komut dizisi bu argümanı olaydan alır.
responseEventIncidentArea, komut dizisini çalıştıran uygulamanın adıdır (örneğin KUMA). Bu parametre oluşturulan görevin adına eklenir.

EDR Tehdit Yanıtını yapılandırmak için, görev ayarlarını "KLINCDT_BODY": json.dumps(data) parametresinde JSON biçiminde belirtmeniz gerekir. Sonuç olarak uygulama Kaspersky Security Center Konsolunda [Response][KUMA] <task type> - <Date> <Time> - <ID> görevini oluşturur.

Dosyayı al – getFile

Dosyayı al görev ayarları

Parametre	Tür	Açıklama
`md5hash`	`string`	Almak istediğiniz dosyanın MD5 karması.
`sha256hash`	`string`	Almak istediğiniz dosyanın SHA256 karması.
`path`	`string`	Almak istediğiniz dosyanın yolu.

Örnek

type getFile = {

task: 'getFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

};

responseEventIncidentArea: string;

};

Dosyayı sil – deleteFile

Dosyayı sil görev ayarları

Parametre	Tür	Açıklama
`md5hash`	`string`	Silmek istediğiniz dosyanın MD5 karması.
`sha256hash`	`string`	Silmek istediğiniz dosyanın SHA256 karması.
`path`	`string`	Silmek istediğiniz dosyanın yolu.
`searchInSubfolders?`	`boolean`	Silmek istediğiniz dosyayı alt klasörlerde arayın.

Örnek

type deleteFile = {

task: 'deleteFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

// recursive search for a file (subfolder), optional

searchInSubfolders?: boolean;

};

responseEventIncidentArea: string;

};

Dosyayı Karantinaya taşı – quarantineFile

Dosyayı Karantinaya taşı görev ayarları

Parametre	Tür	Açıklama
`md5hash`	`string`	Karantinaya almak istediğiniz dosyanın MD5 karması.
`sha256hash`	`string`	Karantinaya almak istediğiniz dosyanın SHA256 karması.
`path`	`string`	Karantinaya almak istediğiniz dosyanın yolu.

Örnek

type quarantineFile = {

task: 'quarantineFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

};

responseEventIncidentArea: string;

};

IOC Taraması – iocScan

IOC Taraması görev ayarları

Parametre	Tür	Açıklama
`ioc`	`string`	Tarama için kullanmak istediğiniz base64 kodlamasında bir IOC dosyası içeren ZIP arşivinin yolu. Gerekli argüman. Bu argümanı manuel olarak girin.
`isolateHost`	`boolean`	Tehdidin yayılmasını önlemek için bir tehlike göstergesi tespit edildiğinde bilgisayarı ağdan izole edin.
`scanCriticalAreas`	`boolean`	Bir tehlikeye girme göstergesi tespit edildiğinde Kritik Alanları Tarama görevini çalıştırın.
`quarantineObject`	`boolean`	Bir güvenlik ihlali algılandığında kötü amaçlı nesneyi silin. Kaspersky Endpoint Security, nesneyi silmeden önce nesnenin daha sonra geri yüklenmesi gerekebileceği ihtimaline karşı bir yedek kopya oluşturur. Kaspersky Endpoint Security, yedek kopyayı Karantinaya taşır.

Örnek

type iocScan = {

task: 'iocScan';

targetHost: string;

params: {

// the path to the zip archive with ioc files in base64 encoding

ioc: string;

// isolation of the computer from the network

isolateHost: boolean;

// critical areas scan

scanCriticalAreas: boolean;

// quarantine the file

quarantineObject: boolean;

};

responseEventIncidentArea: string;

};

İşlemi başlat – startProcess

İşlemi başlat görev ayarları

Parametre	Tür	Açıklama
`executablePath`	`string`	İşlemi başlatmak için kullanılan yürütülebilir dosyanın yolu.
`arguments?`	`string`	Süreci başlatmak için ek komut satırı argümanları.
`workingFolder?`	`string`	Sürecin çalışma klasörünün yolu.

Örnek

type startProcess = {

task: 'startProcess';

targetHost: string;

params: {

// the path to the file

executablePath: string;

// command line arguments, optional

arguments?: string;

// a working folder, optional

workingFolder?: string;

};

responseEventIncidentArea: string;

};

İşlemi sonlandır – terminateProcess

İşlemi sonlandır görev ayarları

Parametre	Tür	Açıklama
`md5hash`	`string`	İşlemini sonlandırmak istediğiniz dosyanın MD5 karması.
`sha256hash`	`string`	İşlemini sonlandırmak istediğiniz dosyanın SHA256 karması.
`path`	`string`	Silmek istediğiniz dosyanın yolu.
`caseSensitive`	`boolean`	Dosya aranırken büyük/küçük harf duyarlılığı.

Örnek

type terminateProcess = {

task: 'terminateProcess';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

// case sensitive of the file name

caseSensitive: boolean;

};

responseEventIncidentArea: string;

};

Bilgisayar ağ izolasyonu – isolateHost

Bilgisayar ağ izolasyonu ayarları

Parametre	Tür	Açıklama
`action`	`string`	Almak istediğiniz dosyanın MD5 karması.

Örnek

type isolateHost = {

task: 'isolateHost';

targetHost: string;

params: {

// 0 - turning off network isolation, 1 - turning on network isolation

action: number;

};

responseEventIncidentArea: string;

};

Yürütme önleme – preventExecution

Yürütme önleme ayarları

Parametre	Tür	Açıklama
`hash`	`string`	Çalışmasını engellemek istediğiniz dosyanın MD5 karması.
`path`	`string`	Çalışmasını engellemek istediğiniz dosyanın yolu.
`caseSensitive`	`boolean`	Dosya aranırken büyük/küçük harf duyarlılığı.

Örnek

type preventExecution = {

task: 'preventExecution';

targetHost: string;

params: {

// a valid md5 hash of the file

hash: string;

// the path to the file

path: string;

// case sensitive of the file name

caseSensitive: boolean;

};

responseEventIncidentArea: string;

};

Kötü Amaçlı Yazılım Taraması – onDemandScan

Kötü Amaçlı Yazılım Taraması görev ayarları

Parametre	Tür	Açıklama

`path`	`string`	Özel Tarama için dosya ve klasörlerin alanla sınırlandırılmış listesi.
`recursive`	`boolean`	Tekrarlayan tarama modu.
`type`	`number`	Tarama kapsamı.
ScanObjectType = Enum("ScanObjectType", [ ("SystemMemory", 14), ("StartupObjectsAndRunningProcesses", 15), ("DiskBootSectors", 16), ("SystemBackupStorage", 17), ("Email", 18), ("Folder", 22), ("AllRemovableDrives", 23), ("AllNetworkDrives", 24), ("AllFixedDrives", 25)])

Örnek

type onDemandScan = {

task: 'onDemandScan';

targetHost: string;

// please note, this is an array

// array of scan object

params: [{

// enabling the scan object

enabled: boolean;

// an empty string or the path to the folder to scan

path: string;

// recursive scan mode

recursive: boolean;

// ID scan object

type: number;

}];

responseEventIncidentArea: string;

};

Sayfanın başına git