Если в Kaspersky Industrial CyberSecurity for Networks настроена совместная работа с EPP-приложениями, вы можете запускать на устройствах действия по реагированию. Действия по реагированию позволяют предотвратить или минимизировать последствия обнаруженных угроз со стороны устройств в промышленной сети. Запуск каждого действия по реагированию выполняется вручную при работе с соответствующим объектом в программе.
Возможность запуска действий по реагированию доступна для устройств с программным компонентом Endpoint Agent. При запуске действия по реагированию Kaspersky Industrial CyberSecurity for Networks передает информацию об этом в Endpoint Agent. Программный компонент Endpoint Agent выполняет полученную команду и отправляет оповещение о ее выполнении в Kaspersky Industrial CyberSecurity for Networks.
В зависимости от характера угроз, обнаруженных на устройствах, вы можете запускать следующие действия по реагированию:
После включения сетевой изоляции устройства программный компонент Endpoint Agent разрывает все активные и блокирует все новые сетевые соединения TCP/IP на устройстве, кроме следующих соединений:
Сетевая изоляция устройства действует до отключения сетевой изоляции в Kaspersky Industrial CyberSecurity for Networks. Если сетевая изоляция не отключена вручную, она будет отключена автоматически через 9 999 часов с момента включения.
Вы можете настраивать правила запрета запуска исполняемых файлов и скриптов, а также открытия файлов офисного формата на выбранных устройствах. Например, вы можете запретить запуск приложений, использование которых вы считаете небезопасным, на выбранном устройстве с программным компонентом Endpoint Agent. Программа идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.
Запрет запуска выполняется с уведомлением пользователя о сработавшем правиле запрета запуска. Если пользователь устройства не закроет всплывающее уведомление, то оно закроется автоматически через 60 секунд после появления.
Карантин – это специальное локальное хранилище на устройстве с программным компонентом Endpoint Agent, в которое помещаются файлы, возможно зараженные вирусами или неизлечимые на момент обнаружения. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства.
Kaspersky Security Center формирует общий список объектов, помещенных на карантин на устройствах с Endpoint Agent. Агенты администрирования устройств передают информацию о файлах на карантине на Сервер администрирования.
Агент администрирования Kaspersky Security Center не копирует файлы из карантина на Сервер администрирования. Все объекты находятся на защищаемых устройствах с Endpoint Agent. Восстановление объектов из карантина также выполняется на защищаемых устройствах.
Критически важные системные объекты (англ. System Critical Object, SCO) удалить невозможно. К SCO относятся файлы, необходимые для работы операционной системы и EPP-приложения.
Удаление файла в файловой системе устройства может быть отложено до перезагрузки устройства (например, если файл занят другими процессами). Если удаление файла отложено до перезагрузки устройства, EPP-приложение оповещает об этом Kaspersky Industrial CyberSecurity for Networks. В этом случае после запуска действия по реагированию в Kaspersky Industrial CyberSecurity for Networks отображается предупреждение об отложенном удалении файла. Рекомендуется проверить успешность удаления файла после перезагрузки устройства.
Вы можете удаленно завершать процессы, запущенные на устройстве. EPP-приложение завершает процесс, который запущен из файла по файловому пути, указанному для действия по реагированию. При этом учитывается регистр символов в имени процесса (имя процесса должно полностью совпадать с именем файла в действии по реагированию).
Завершать процессы критически важных системных объектов (SCO) невозможно.
На устройстве может быть запущено несколько процессов по файловому пути, указанному для действия по реагированию. В этом случае EPP-приложение завершает все такие процессы, но с учетом ограничения на количество завершаемых процессов (если такое ограничение задано в EPP-приложении). Поэтому при большом количестве запущенных процессов из одного исполняемого файла EPP-приложение может не завершить некоторые из этих процессов.
Вы можете удаленно запускать на устройстве процессы исполняемых файлов (в том числе процессы, завершенные с помощью действия по реагированию Завершить процесс), скрипты, утилиты и приложения. Для запуска процесса вам нужно указывать команду запуска. Вы также можете указать аргументы командной строки и путь к рабочей директории. При этом для запуска процесса с помощью EPP-приложения Kaspersky Industrial CyberSecurity for Linux Nodes на устройстве может потребоваться настройка системы SELinux.
После завершения выполнения команды программный компонент Endpoint Agent отправляет в Kaspersky Industrial CyberSecurity for Networks текстовые файлы, содержащие данные стандартных потоков вывода и ошибок при запуске процесса (не более 100 КБ данных в каждом файле).
Для действий по реагированию Изолировать устройство от сети, Запретить запуск и Поместить на карантин вы можете запускать в Kaspersky Industrial CyberSecurity for Networks соответствующее обратное действие. Эта возможность позволяет восстановить нормальное функционирование устройства после выполнения запущенного действия по реагированию и устранения угрозы со стороны устройства. Предусмотрены следующие обратные действия:
Kaspersky Industrial CyberSecurity for Networks регистрирует запущенные действия по реагированию и соответствующие им обратные действия. Зарегистрированные действия отображаются в разделе События на вкладке Действия по реагированию.
Вы можете запускать действия по реагированию, выбирая для этого нужные события, исполняемые файлы или устройства. Также вы можете запускать новые действия по реагированию, используя зарегистрированные и выполненные действия (если выбранное действие предусматривает возможность запуска обратных действий).
Доступные для запуска действия зависят от выбранного объекта. Например, если вы выбрали устройство с программным компонентом Endpoint Agent, вам доступны только возможности управления сетевой изоляцией этого устройства и запуска процессов. Остальные действия по реагированию доступны при других условиях.
Запускать действия по реагированию и соответствующие им обратные действия могут пользователи с ролью Администратор или Специалист по безопасности.