Arten von Reaktionen

Alles erweitern | Alles ausblenden

MDR-SOC-Analysten untersuchen Vorfälle und erstellen Reaktionen, die Sie entweder akzeptieren oder ablehnen können. Dies ist die Standardmethode für die Bearbeitung von Vorfällen in Kaspersky Managed Detection and Response.

Sie können jedoch auch Reaktionen manuell erstellen, indem Sie die Funktionen von Kaspersky Endpoint Detection und Response Optimum verwenden.

In diesem Artikel werden nur die Reaktionsarten von SOC-Analysten beschrieben.

Jede Reaktion kann eine Reihe von Parametern aufweisen, die auf der Registerkarte Reaktionen eines Vorfalls angezeigt werden.

Die möglichen Arten von Reaktionen sind:

• Datei abrufen

  Die Kopie einer Datei aus Ihrer Infrastruktur wird an das SOC von Kaspersky gesendet. Wenn Sie diese Reaktion akzeptieren, wird einer Kopie der angegebenen Datei an das SOC von Kaspersky SOC gesendet.

  Beachten Sie, dass dieser Art von Reaktion auch Dateien mit persönlichen und/oder vertraulichen Daten abrufen kann.

  Die möglichen Parameter sind:

  • Pfad der infizierten Datei

    Der absolute Dateipfad. Beispiel: C:\\file.exe.

  • Maximale Dateigröße

    Die maximale Dateigröße in MB.

    Wenn die infizierte Datei die angegebene maximale Dateigröße überschreitet, wird der Versuch, die Reaktion zu akzeptieren, fehlschlagen und die Reaktion wird nicht durchgeführt. Sie wird aber auf der Registerkarte Verlauf des Vorfalls angezeigt.

• Isolieren

  Die angegebenen Assets werden vom Netzwerk isoliert.

  Falls Sie die Netzwerkisolation dringend deaktivieren müssen, wenden Sie sich bitte an den Technischen Support oder schreiben Sie auf der Registerkarte Kommunikation des Vorfall seine Anfrage.

  Die möglichen Parameter sind:

  • Kennwort zum Deaktivieren der Isolation

    Das Kennwort zum Deaktivieren der Isolation. Sobald der Technische Support Ihre Anfrage zur Deaktivierung der Netzwerkisolation erhält, wird er Ihnen Details zum Verfahren und zur Verwendung des Passworts zusenden.

  • Aufgaben-ID

    Die eindeutige Aufgabenkennung, die in Kombination mit dem Kennwort zum Deaktivieren der Isolation verwendet wird, um die Netzwerkisolation manuell zu deaktivieren.

  • Kennwort-Details

    Sie können die Gültigkeit des Kennworts überprüfen, indem Sie daraus einen abgeleiteten Schlüssel generieren und den resultierenden Wert mit dem Wert im Parameter Abgeleiteter Schlüssel vergleichen.

    • Version

      Die numerische Version für die Darstellung der Regeln zur Kennworterstellung. Eine Version von 1 bedeutet, dass die folgenden PBKDF2-Parameter zum Erstellen eines abgeleiteten Schlüssels verwendet werden:

      • HMACSHA256-Hash-Algorithmus
      • 10.000 Iterationen
      • 32 Byte Schlüssellänge
    • Salt

      Der Salt im HEX-Format zum Abrufen eines abgeleiteten Schlüssels über PBKDF2.

    • Abgeleiteter Schlüssel

      Der abgeleitete Schlüssel im HEX-Format.

  • Isolationsdauer für das Asset

    Der Zeitraum in Sekunden, nach dem die Isolation automatisch deaktiviert wird. Wenn kein benutzerdefinierter Zeitraum angegeben ist, wird der Standard-Zeitraum von sieben Tagen angewendet. Der Höchstwert beträgt 2.678.400 Sekunden.

  • Ausnahmeregeln

    Array von Regeln mit benutzerdefinierten Ports, Protokollen, IP-Adressen und Prozessen, auf die keine Isolation angewendet wird.

    • Richtung

      Die Richtung des Datenverkehrs. Die möglichen Werte sind: Eingehend, Ausgehend, Beide.

    • Protokoll

      Die Protokollnummer gemäß der IANA-Spezifikation.

      Die möglichen Werte sind:

      • 1 (ICMP)
      • 6 (TCP)
      • 17 (UDP)
      • 58 (IPv6-ICMP)
    • Remote-Portbereich

      Der Remote-Portbereich wird in den verschachtelten Feldern Von und Bis angegeben.

    • Remote-IPv4-Adresse

      Die entfernte IPv4-Adresse oder Subnetzmaske.

    • Remote-IPv6-Adresse

      Die entfernte IPv6-Adresse oder Subnetzmaske.

    • Lokaler Portbereich

      Der lokale Portbereich wird in den verschachtelten Feldern Von und Bis angegeben.

    • Lokale IPv4-Adresse

      Die lokale IPv4-Adresse oder Subnetzmaske.

    • Lokale IPv6-Adresse

      Die lokale IPv6-Adresse oder Subnetzmaske.

    • Prozess

      Der Pfad zum Prozess-Image wird in den verschachtelten Feldern Image → Pfad angegeben.

• Isolation deaktivieren

  Deaktivieren der Netzwerkisolation des angegebenen Assets.

• Registrierungsschlüssel löschen

  Löschen eines Registrierungsschlüssels oder eines Unterabschnitts der Registrierung für das angegebene Asset.

  Die möglichen Parameter sind:

  • Schlüssel

    Der absolute Schlüsselpfad, der mit HKEY_LOCAL_MACHINE oder HKEY_USERS beginnt. Beispiel: HKEY_LOCAL_MACHINE\\SYSTEM\\WebClient.

    Wenn der Schlüssel ein symbolischer Link ist, wird nur dieser Schlüssel gelöscht, während der Zielschlüssel des Links intakt bleibt.

  • Wert

    Der Schlüsselwert.

    Wird dieser Parameter nicht angegeben, wird der Schlüssel rekursiv gelöscht. Beim rekursiven Löschen wird jeder Unterschlüssel, der ein symbolischer Link ist, gelöscht, während sein Zielschlüssel intakt bleibt.

    Wenn der Schlüsselwert eine leere Zeichenfolge ist, wird der Standardwert gelöscht.

• Speicher-Dump

  Erstellen eines Speicher-Dumps und Senden des Dumps an das SOC von Kaspersky.

  Die möglichen Parameter sind:

  • Typ des Dumps

    Ein Speicher-Dump kann einem von zwei Typen entsprechen:

    • Vollständiger Speicher-Dump

      Ein Abbild des gesamten Speichers eines Assets.

    • Prozess-Dump

      Ein Abbild eines angegebenen Prozesses.

  • Maximale Dateigröße

    Die maximale Dateigröße für den Dump im zip-Format in MB. Der Standardwert ist 100 MB.

  • Prozess

    Die Prozess-ID und Image-Details.

    • Image
      • Pfad

        Der absolute Dateipfad. Beispiel: %systemroot%\\system32\\svchost.exe.

      • SHA256

        Die SHA256-Prüfsumme im HEX-Format.

      • MD5

        Die MD5-Prüfsumme im HEX-Format.

    • Einmalige ID

      Die eindeutige Prozesskennung.

  • Maximale Anzahl an Prozessen

    Die maximale Anzahl von Prozessen, die in der Dump-Datei enthalten sein können.

• Prozess beenden

  Beenden eines Prozesses auf einem angegebenen Asset mit Kaspersky Endpoint Security für Windows. Der zu beendende Prozess kann durch seinen Namen oder die Prozesskennung (PID) angegeben werden.

• Skript ausführen

  Ausführung eines Skriptes auf einem angegebenen Asset mit Kaspersky Endpoint Security für Windows.

  Für diese Reaktion muss die PowerShell-Umgebung auf dem Asset installiert sein. Sie können das auszuführende Skript und seine Beschreibung in der MDR Web Console anzeigen.

• Datei in Quarantäne verschieben

  Verschiebt eine potenziell gefährliche Datei in einem speziellen lokalen Speicherbereich. Die Dateien in diesem Speicherbereich werden verschlüsselt und stellen keine Gefahr für die Sicherheit Ihres Geräts dar. Es wird eine Bestätigungsanfrage angezeigt, in der das betroffene Asset sowie der Hash (MD5 oder SHA256) und der Pfad der Datei angegeben sind.

• Datei aus Quarantäne wiederherstellen

  Stellt eine Datei, zuvor in die Quarantäne verschobene wurde, an ihrem ursprünglichen Speicherort wieder her. Wenn sich am ursprünglichen Speicherort eine Datei mit demselben Namen befindet, wird die Wiederherstellung nicht ausgeführt.

• Artefakte abrufen

  Verfügbar, wenn Sie die Integration mit Kaspersky Anti Targeted Attack konfiguriert haben

  Kopiert Dateien, die sich auf Alarme aus Kaspersky Anti Targeted Attack beziehen, aus der Infrastruktur von Kaspersky Anti Targeted Attack zum Kaspersky SOC. Die kopierten Dateien werden von MDR-SOC-Analysten verwendet, um Alarme aus Kaspersky Anti Targeted Attack zu untersuchen.

  Die möglichen Parameter sind:

  • ID des Knotens mit der Kaspersky Anti Targeted Attack-Lösung.
  • ID des Alarms in Kaspersky Anti Targeted Attack.
  • Kategorien der Dateien, die sich auf Alarme beziehen und zum Kaspersky SOC kopiert werden:
    • PCAP- und Payload-Dateien, die sich auf einen IDS-Alarm beziehen.
    • Bericht über das Ergebnis der Datei-Untersuchung in der Sandbox. Enthält Screenshots der Objektausführung, das Aktivitätsprotokoll und andere Untersuchungsdaten.
    • Die infizierte, an die Sandbox gesendete Datei.
    • Informationen zu allen Dateien, die sich auf den Alarm beziehen.

  Verfügbar, wenn Sie die Integration mit Kaspersky NEXT XDR Expert 2.0 konfiguriert haben

  Kopiert Dateien, die sich auf Alarme oder Vorfälle aus Kaspersky NEXT XDR Expert 2.0 beziehen, aus der Infrastruktur von Kaspersky NEXT XDR Expert zum Kaspersky SOC. Die kopierten Dateien werden von MDR-SOC-Analysten verwendet, um Alarme und Vorfälle aus Kaspersky NEXT XDR Expert zu untersuchen.

  Die möglichen Parameter sind:

  • ID des Knotens mit der Kaspersky NEXT XDR Expert-Lösung.
  • ID des Alarms in Kaspersky NEXT XDR Expert.
  • Kategorien der Dateien, die sich auf Alarme oder Vorfälle beziehen und zum Kaspersky SOC kopiert werden:
    • Dateien, die zum Alarm oder Vorfall in Kaspersky NEXT XDR Expert hochgeladen wurden
    • Bericht über das Ergebnis der Datei-Untersuchung in der Sandbox. Enthält Screenshots der Objektausführung, das Aktivitätsprotokoll und andere Untersuchungsdaten.
    • Die infizierte, an die Sandbox gesendete Datei.
    • Dateien, die sich auf die von Benutzern ausgeführten Reaktionen für den Alarm oder den Vorfall beziehen:
      • Dateien abrufen
      • Forensische Daten sammeln
      • Registrierungsschlüssel erfassen
      • Dateien des NTFS-Dateisystemdienstes abrufen
      • Dumps der Prozess-Speicher erstellen
      • Dateien in Quarantäne verschieben
  • Informationen zu allen Dateien, die sich auf den Alarm beziehen.
  • Namen und IDs der kopierten Dateien.

  Bei dieser Art von Antwortreaktion können Dateien mit personenbezogenen und vertraulichen Daten übertragen werden.

Siehe auch: Funktionen von Kaspersky Endpoint Detection and Response Optimum verwenden

Nach oben