Об ответных действиях по командам

При взаимодействии с решением Kaspersky Endpoint Detection and Response Optimum приложение Kaspersky Industrial CyberSecurity for Linux Nodes может выполнять ответные действия, направленные на обеспечение функций безопасности.

Приложение Kaspersky Industrial CyberSecurity for Linux Nodes может выполнять следующие ответные действия:

• Получать файлы с устройств.

  Действие выполняется с помощью задачи Получение файла с устройства (Get file task). Например, вы можете настроить получение файла журнала событий, который создает сторонняя программа.

• Удалять файлы с устройств.

  Действие выполняется с помощью задачи Удаление файла с устройства (Delete file task).

• Удаленно запускать процессы на устройствах.

  Действие выполняется с помощью задачи Запуск процесса (Run process).

  Например, вы можете удаленно запустить утилиту, которая создает файл с конфигурацией устройства, а затем получить созданный файл с помощью задачи Получение файла с устройства.

• Удаленно завершать процессы на устройствах.

  Действие выполняется с помощью задачи Завершение процесса (Terminate process).

  Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи запуска процесса.

• Обнаруживать индикаторы компрометации на устройствах и выполнять действия по реагированию на угрозы.

  Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему.

  Действие выполняется с помощью задачи Поиск IOC (IOC Scan).

  При выполнении задачи Поиск IOC проверка по IOC-терминам (свойствам IOC-объекта, например, хеш-сумме файла) выполняется только в основном пространстве имен операционной системы. Задача Поиск IOC не вычисляет хеш-суммы файлов размером более 200 МБ.

• Включать и выключать сетевую изоляцию устройства.

  При взаимодействии Kaspersky Industrial CyberSecurity for Linux Nodes с Kaspersky Endpoint Detection and Response Optimum вы можете:

  • Включать и выключать сетевую изоляцию в Web Console.
  • Выключать сетевую изоляцию в командной строке.
  • Настроить автоматическое выключение сетевой изоляции в Web Console.

Ограничения сетевой изоляции

При использовании сетевой изоляции настоятельно рекомендуется ознакомиться с ограничениями, описанными ниже.

Для работоспособности сетевой изоляции требуется, чтобы приложение Kaspersky Industrial CyberSecurity for Linux Nodes было запущено. Во время сбоя в работе приложения Kaspersky Industrial CyberSecurity for Linux Nodes (когда приложение не запущено), блокировка трафика при включении сетевой изоляции решением Kaspersky Endpoint Detection and Response Optimum не гарантируется.

Транзитный трафик при включенной сетевой изоляции поддерживается с ограничениями и может фильтроваться.

DHCP и DNS в исключения из сетевой изоляции автоматически не добавляются, поэтому если сетевой адрес какого-то ресурса был изменен во время сетевой изоляции, приложение Kaspersky Industrial CyberSecurity for Linux Nodes не сможет получить к нему доступ.

Прокси-сервер также в исключения из сетевой изоляции автоматически не добавляется, при необходимости вы можете добавить его в исключения вручную.

Добавление процесса в сетевую изоляцию и исключение процесса из сетевой изоляции по имени не поддерживается.

При использовании сетевой изоляции рекомендуется:

• Использовать прокси-сервер KSN для взаимодействия с Kaspersky Security Network.
• Использовать Kaspersky Security Center в качестве прокси-сервера для активации приложения.

  В случае невозможности использования Kaspersky Security Center в качестве прокси-сервера настройте параметры нужного прокси-сервера и добавьте его в исключения.

• Указать Kaspersky Security Center в качестве источника обновлений баз.

В начало