Types de réponse

Tout développer | Tout réduire

Les analystes SOC MDR examinent les incidents et créent des réponses que vous pouvez accepter ou refuser. Il s’agit de la manière par défaut de gérer les incidents dans Kaspersky Managed Detection and Response.

Cependant, vous pouvez créer manuellement des réponses à l’aide des fonctionnalités de Kaspersky Endpoint Detection and Response Optimum.

Cet article décrit uniquement les types de réponses de l’analyste SOC.

Chaque réponse peut avoir un ensemble de paramètres qui sont présents dans l’onglet Réponses d’un incident.

Les types de réponses disponibles sont les suivants :

• Obtenir le fichier

  Copier un fichier de votre infrastructure vers Kaspersky SOC. Si vous acceptez cette réponse, le fichier spécifié sera copié dans Kaspersky SOC.

  Notez que ce type de réponse permet d’obtenir des fichiers contenant des données personnelles et/ou confidentielles.

  Les paramètres possibles sont les suivants :

  • Chemin d’accès au fichier infecté

    Le chemin d’accès absolu du fichier. Par exemple, C:\\file.exe.

  • Taille maximale du fichier

    La taille maximale du fichier, en Mo.

    Si le fichier infecté dépasse la taille de fichier maximale spécifiée, la tentative d’acceptation de la réponse échouera, et la réponse ne sera pas effectuée, mais s’affichera dans l’onglet Historique d’un incident.

• Isoler

  Isoler la ressource spécifiée du réseau.

  Si vous devez désactiver d’urgence l’isolement du réseau, veuillez contacter le Support technique ou formuler une demande sous l’onglet Communication de l’incident.

  Les paramètres possibles sont les suivants :

  • Mot de passe pour désactiver l’isolation

    Le mot de passe pour désactiver l’isolation. Une fois que le support technique aura reçu votre demande de désactivation de l’isolement du réseau, il vous enverra la procédure à suivre avec les détails concernant l’utilisation du mot de passe.

  • Identifiant de la tâche

    L’identifiant de tâche unique utilisé en association avec le Mot de passe pour désactiver l’isolation pour la désactivation manuelle de l’isolement du réseau.

  • Détails du mot de passe

    Vous pouvez vérifier la validité du mot de passe en générant une clé dérivée à partir de celui-ci et en comparant la valeur résultante avec la valeur du paramètre Clé dérivée.

    • Version

      La version numérique des règles de création de mot de passe. Une version de 1 signifie que les paramètres suivants de PBKDF2 sont appliqués pour créer une clé dérivée :

      • Algorithme de hachage HMACSHA256
      • 10 000 itérations
      • Longueur de clé de 32 octets
    • Sel

      Le sel au format HEX pour obtenir une clé dérivée via PBKDF2.

    • Clé dérivée

      La clé dérivée au format HEX.

  • Période d’isolation de la ressource

    Période en secondes après laquelle l’isolation sera automatiquement désactivée. Si aucune période personnalisée n’est définie, la période par défaut de sept jours est appliquée. La valeur maximale est de 2 678 400 secondes.

  • Règles d’exclusion

    Tableau de règles avec les ports, les protocoles, les adresses IP et les processus personnalisés auxquels l’isolation n’est pas appliquée.

    • Direction

      Le sens du trafic. Les valeurs possibles sont : entrant, sortant, et entrant et sortant.

    • Protocole

      Le numéro de protocole selon la spécification IANA.

      Les valeurs possibles sont les suivantes :

      • 1 (ICMP)
      • 6 (TCP)
      • 17 (UDP)
      • 58 (IPv6-ICMP)
    • Plage de ports distants

      La plage de ports distants spécifiés dans les champs imbriqués De et À.

    • Adresse IPv4 distante

      L’adresse IPv4 distante ou le masque de sous-réseau.

    • Adresse IPv6 distante

      L’adresse IPv6 distante ou le masque de sous-réseau.

    • Plage de ports locaux

      La plage de ports locaux spécifiés dans les champs imbriqués De et À.

    • Adresse IPv4 locale

      L’adresse IPv4 locale ou le masque de sous-réseau.

    • Adresse IPv6 locale

      L’adresse IPv6 locale ou le masque de sous-réseau.

    • Processus

      Le chemin d’accès à l’image de processus spécifié dans le champ imbriqué Image → Chemin.

• Désactiver l’isolation

  Désactivation de l’isolement du réseau de la ressource spécifiée.

• Supprimer la clé de registre

  Suppression d’une clé de registre ou d’une branche de registre sur la ressource spécifiée.

  Les paramètres possibles sont les suivants :

  • Clé

    Le chemin de la clé absolu, qui commence par HKEY_LOCAL_MACHINE ou HKEY_USERS. Par exemple, HKEY_LOCAL_MACHINE\\SYSTEM\\WebClient.

    Si la clé est un lien symbolique, seule cette clé sera supprimée tandis que la clé cible du lien restera intacte.

  • Valeur

    La valeur clé.

    Si ce paramètre n’est pas spécifié, la clé sera supprimée de manière récursive. Lors de la suppression récursive, chaque sous-clé qui est un lien symbolique sera supprimée tandis que sa clé cible restera intacte.

    Si la valeur de la clé est une chaîne vide, la valeur par défaut sera supprimée.

• Vidage de mémoire

  Création d’un vidage de mémoire et envoi à Kaspersky SOC.

  Les paramètres possibles sont les suivants :

  • Type de vidage

    Un vidage de mémoire peut être de l’un des deux types suivants :

    • Vidage complet de la mémoire

      Un vidage de la mémoire entière d’un appareil.

    • Vidage du processus

      Un vidage d’un processus spécifié.

  • Taille maximale du fichier

    La taille maximale du fichier pour le vidage au format ZIP, en Mo. La valeur par défaut est de 100 Mo.

  • Processus

    L’identifiant du processus et les détails de l’image.

    • Image
      • Chemin d’accès

        Le chemin d’accès absolu du fichier. Par exemple, %systemroot%\\system32\\svchost.exe.

      • SHA256

        La somme de contrôle SHA256 au format HEX.

      • MD5

        La somme de contrôle MD5 au format HEX.

    • Identifiant unique

      L’identifiant unique du processus.

  • Limite du nombre de processus

    Le nombre maximal de processus pouvant être contenus dans le fichier de vidage.

• Terminer le processus

  Terminez le processus sur la ressource indiquée avec Kaspersky Endpoint Security for Windows. Le processus à arrêter peut être indiqué par son nom ou son identificateur de processus (PID).

• Exécuter le script

  Terminez le processus sur la ressource indiquée avec Kaspersky Endpoint Security for Windows.

  Pour que cette réponse fonctionne, le composant PowerShell doit être installé sur la ressource. Le script à lancer et sa description sont consultables dans la Console MDR en ligne.

• Mettre le fichier en quarantaine

  Le fichier potentiellement dangereux est placé dans un stockage local spécial. Les fichiers de ce stockage sont conservés chiffrés et ne menacent pas la sécurité de l’appareil. La demande de confirmation précise la ressource, le chemin d’accès au fichier et le type de hachage du fichier (MD5 ou SHA256).

• Restaurer le fichier depuis la quarantaine

  Restaure le fichier précédemment mis en quarantaine à son emplacement d’origine. S’il existe un fichier portant le même nom à l’emplacement d’origine, la restauration n’est pas effectuée.

• Obtenir les artefacts

  Disponible si vous avez configuré l'intégration à Kaspersky Anti Targeted Attack

  Copie les fichiers liés aux alertes Kaspersky Anti Targeted Attack depuis l'infrastructure Kaspersky Anti Targeted Attack vers Kaspersky SOC. Les fichiers copiés sont utilisés par les analystes SOC de MDR pour enquêter sur les alertes Kaspersky Anti Targeted Attack.

  Les paramètres possibles sont les suivants :

  • Identifiant du nœud de la solution Kaspersky Anti Targeted Attack.
  • Identifiant d'alerte Kaspersky Anti Targeted Attack.
  • Catégories de fichiers à copier vers Kaspersky SOC en rapport avec les alertes :
    • Fichiers PCAP et Payload liés à une alerte IDS.
    • Rapport sur le résultat de l'analyse des fichiers dans Sandbox. Comprend des captures d'écran de l'exécution des objets, le journal des activités ainsi que d'autres données d'analyse.
    • Le fichier infecté qui a été envoyé dans Sandbox.
    • Détails sur tous les fichiers en rapport avec l'alerte.

  Disponible si vous avez configuré l'intégration avec Kaspersky NEXT XDR Expert 2.0

  Copie les fichiers liés aux alertes ou incidents Kaspersky NEXT XDR Expert 2.0 depuis l'infrastructure Kaspersky NEXT XDR Expert vers Kaspersky SOC. Les fichiers copiés sont utilisés par les analystes du SOC de MDR pour enquêter sur les alertes et les incidents de Kaspersky NEXT XDR Expert.

  Les paramètres possibles sont les suivants :

  • Identifiant du nœud de la solution Kaspersky NEXT XDR Expert.
  • Alerte ou identifiant d'incident Kaspersky NEXT XDR Expert.
  • Catégories de fichiers à copier vers Kaspersky SOC qui sont liés aux alertes ou aux incidents :
    • Fichiers chargés vers l'alerte ou l'incident Kaspersky NEXT XDR Expert.
    • Rapport sur le résultat de l'analyse des fichiers dans Sandbox. Comprend des captures d'écran de l'exécution des objets, le journal des activités ainsi que d'autres données d'analyse.
    • Le fichier infecté qui a été envoyé dans Sandbox.
    • Fichiers liés aux actions de réponse de l'utilisateur à l'alerte ou à l'incident :
      • Récupération de fichiers
      • Collecte de preuves numériques
      • Acquisition de clés de registre
      • Récupération de fichiers du service du système de fichiers NTFS
      • Acquisition de vidage de mémoire de processus
      • Mise en quarantaine de fichiers
  • Détails sur tous les fichiers en rapport avec l'alerte.
  • Noms et identifiants des fichiers copiés.

  Ce type d'action corrective peut entraîner la transmission de fichiers avec des données personnelles et confidentielles.

Voir également : Utilisation des fonctionnalités de Kaspersky Endpoint Detection and Response Optimum

Haut de page