Запуск действий по реагированию при работе с событиями

Вы можете запускать действия по реагированию на устройстве, используя зарегистрированное событие, которое связано с этим устройством. Для запуска действия по реагированию событие должно быть зарегистрировано по технологии EPP и для этого события должна быть построена цепочка развития угрозы в Endpoint Agent (событие является инцидентом EDR).

Запуск действия по реагированию для устройства в инциденте EDR: Изолировать устройство от сети

Вы можете запускать действие по реагированию Изолировать устройство от сети для любого инцидента EDR.

Чтобы изолировать от сети устройство, связанное с инцидентом EDR:

Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора или Специалиста по безопасности.
Выберите вкладку События и инциденты в разделе События.
В таблице событий выберите нужное событие, которое является инцидентом EDR.
В правой части окна веб-интерфейса появится область деталей.
В области деталей откройте раскрывающийся список Реагирование на угрозы и выберите пункт Изолировать устройство от сети.
Откроется окно с запросом подтверждения.
В окне запроса подтвердите запуск действия по реагированию.

Программа зарегистрирует новое действие по реагированию. Сведения о выполнении этого действия вы можете просмотреть в разделе События на вкладке Действия по реагированию.

Запуск действия по реагированию для объекта в событии активности инцидента EDR: Запретить запуск, Поместить на карантин, Удалить файл или Завершить процесс

Для инцидентов EDR, у которых в цепочке развития угрозы есть события активности с типом Создание файла или Запуск процесса, вы можете запускать действия по реагированию Запретить запуск, Поместить на карантин или Удалить файл. Дополнительно для событий активности с типом Запуск процесса в программе предусмотрена возможность запуска действия по реагированию Завершить процесс.

Для указанных типов событий активности вы можете использовать следующие варианты запуска действий по реагированию:

запуск для объекта обнаружения угрозы в ключевом событии активности – действие по реагированию применяется к объекту обнаружения угрозы из ключевого события активности поддерживаемого типа;
запуск для любого события активности поддерживаемого типа – действие по реагированию применяется к объекту из выбранного события активности в цепочке развития угрозы.

Чтобы запустить действие по реагированию для объекта обнаружения угрозы:

Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора или Специалиста по безопасности.
Выберите вкладку События и инциденты в разделе События.
В таблице событий выберите нужное событие, которое является инцидентом EDR.
В правой части окна веб-интерфейса появится область деталей.
В области деталей откройте раскрывающийся список Реагирование на угрозы и выберите нужный пункт:
- если событие активности с объектом обнаружения угрозы имеет тип Создание файла – для выбора доступны пункты с действиями по реагированию Запретить запуск, Поместить на карантин и Удалить файл;
- если событие активности с объектом обнаружения угрозы имеет тип Запуск процесса – для выбора доступны пункты с действиями по реагированию Запретить запуск, Поместить на карантин, Удалить файл и Завершить процесс.
Откроется окно с запросом подтверждения.
Если запуск действия по реагированию требует подтверждения операции с помощью вашего пароля, введите свой пароль.
В окне запроса подтвердите запуск действия по реагированию.

Чтобы запустить действие по реагированию для любого события активности поддерживаемого типа:

Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора или Специалиста по безопасности.
Выберите вкладку События и инциденты в разделе События.
В таблице событий выберите нужное событие, которое является инцидентом EDR.
В правой части окна веб-интерфейса появится область деталей.
В области деталей перейдите на вкладку Все события активности и выберите нужное событие активности.
Вы можете выбрать любое событие активности с типом Создание файла или Запуск процесса. Ключевое событие активности (с объектом обнаружения угрозы) отмечено значком Обнаружение.
В открывшемся окне деталей события активности нажмите на нужную кнопку:
- если выбрано событие активности с типом Создание файла – доступны кнопки с действиями по реагированию Запретить запуск, Поместить на карантин и Удалить файл;
- если выбрано событие активности с типом Запуск процесса – доступны кнопки с действиями по реагированию Запретить запуск, Поместить на карантин, Удалить файл и Завершить процесс.
Откроется окно с запросом подтверждения.
Если запуск действия по реагированию требует подтверждения операции с помощью вашего пароля, введите свой пароль.
В окне запроса подтвердите запуск действия по реагированию.

Запуск действия по реагированию для устройства в инциденте EDR: Запустить процесс

Вы можете запускать действие по реагированию Запустить процесс для любого инцидента EDR.

Чтобы запустить процесс на устройстве, связанном с инцидентом EDR:

Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора или Специалиста по безопасности.
Выберите вкладку События и инциденты в разделе События.
В таблице событий выберите нужное событие, которое является инцидентом EDR.
В правой части окна веб-интерфейса появится область деталей.
В области деталей откройте раскрывающийся список Реагирование на угрозы и выберите пункт Запустить процесс.
Откроется окно для настройки параметров действия по реагированию.
Настройте параметры для запуска процесса на устройстве. Для этого введите значения следующих параметров:
- Полный путь к исполняемому файлу, скрипту, утилите или приложению.
- Рабочий каталог (необязательный параметр).
- Дополнительные ключи запуска (необязательный параметр).
Введите свой пароль в поле Пароль для подтверждения операции.
Нажмите на кнопку Запустить.

В начало