Аналитики MDR SOC исследуют инциденты и предлагают действия по реагированию, которые вы можете принять или отклонить. Это стандартный способ обработки инцидентов в Kaspersky Managed Detection and Response.
Однако вы можете создавать действия по реагированию вручную, используя функции Kaspersky Endpoint Detection и Response Optimum.
В этой статье описаны только типы действий по реагированию на инциденты, предлагаемые аналитику SOC.
Каждое действие по реагированию может иметь набор параметров, представленных на вкладке Реагирование для инцидента.
Доступные типы действий по реагированию:
Копирование файла из вашей инфраструктуры в Kaspersky SOC. Если вы принимаете это действие по реагированию, указанный файл будет скопирован в Kaspersky SOC.
Обратите внимание, что при этом типе действий могут передаваться файлы, содержащие личные и конфиденциальные данные.
Допустимые параметры:
Абсолютный путь к файлу. Например, C:\\file.exe.
Максимальный размер файла в МБ.
Если размер зараженного файла превышает указанное максимальное значение, выполнить действие по реагированию не удастся, но предлагаемое действие появится на вкладке История для инцидента.
Изоляция указанного актива от сети.
Если нужно срочно отключить сетевую изоляцию, обратитесь в службу технической поддержки или напишите запрос на вкладке Обсуждение инцидента.
Допустимые параметры:
Пароль для отключения изоляции. Как только служба технической поддержки получит запрос на отключение сетевой изоляции, вам отправят информацию об использовании пароля.
Уникальный идентификатор задачи, используемый совместно с Паролем отключения изоляции для отключения сетевой изоляции вручную.
Вы можете проверить действительность Пароля, сформировав на его основе производный ключ и сравнив полученное значение со значением параметра Производный ключ.
Цифровая версия правил создания пароля. Версия 1 означает, что для создания производного ключа применяются следующие параметры PBKDF2:
Соль в шестнадцатеричном формате (HEX) для получения производного ключа с помощью PBKDF2.
Производный ключ в шестнадцатеричном формате (HEX).
Время в секундах, по истечении которого изоляция будет отключена автоматически. Если значение времени не указано, применяется значение по умолчанию, равное семи дням. Максимальное значение – 2 678 400 секунд.
Массив правил для настраиваемых портов, протоколов, IP-адресов и процессов, к которым не применяется изоляция.
Направление трафика. Возможные значения: Входящий, Исходящий, Оба.
Номер протокола согласно спецификации IANA.
Допустимые значения:
Диапазон удаленных портов, указанный в полях С и По.
Удаленный IPv4-адрес или маска подсети.
Удаленный IPv6-адрес или маска подсети.
Диапазон локальных портов, указанный в полях С и По.
Локальный IPv4-адрес или маска подсети.
Локальный IPv6-адрес или маска подсети.
Путь к образу процесса, указанный в поле Образ → Путь.
Отключение сетевой изоляции указанного актива.
Удаление ключа реестра или ветки реестра на указанном активе.
Допустимые параметры:
Абсолютный путь ключа, который начинается с HKEY_LOCAL_MACHINE или HKEY_USERS. Например, HKEY_LOCAL_MACHINE\\SYSTEM\\WebClient.
Если ключ является символической ссылкой, будет удален только этот ключ, а целевой ключ ссылки останется нетронутым.
Значение ключа.
Если этот параметр не указан, ключ будет удален рекурсивно. Во время рекурсивного удаления каждый вложенный ключ, являющийся символической ссылкой, будет удален, а его целевой ключ останется нетронутым.
Если значение ключа – пустая строка, значение по умолчанию будет удалено.
Создание дампа памяти и отправка его в Kaspersky SOC.
Допустимые параметры:
Дамп памяти может быть одного из двух типов:
Дамп всей памяти актива.
Дамп указанного процесса.
Максимальный размер файла дампа в формате ZIP в МБ. Значение по умолчанию – 100 МБ.
Идентификатор процесса и сведения об образе.
Абсолютный путь к файлу. Например, %systemroot%\\system32\\svchost.exe.
Контрольная сумма SHA256 в шестнадцатеричном формате (HEX).
Контрольная сумма MD5 в шестнадцатеричном формате (HEX).
Уникальный идентификатор процесса.
Максимальное количество процессов, которые могут содержаться в файле дампа.
Прервать процесс на указанном активе с помощью Kaspersky Endpoint Security для Windows. Прервать процесс можно указав его имя или идентификатор процесса (PID).
Запускает скрипт на указанном активе с помощью Kaspersky Endpoint Security для Windows.
Чтобы это действие по реагированию сработало, на активе должен быть установлен компонент PowerShell. Вы можете просмотреть запускаемый скрипт и его описание в Консоли MDR.
Помещает потенциально опасный файл в специальное локальное хранилище. Файлы в этом хранилище хранятся в зашифрованном виде и не угрожают безопасности устройства. В запросе подтверждения указывается актив, путь к файлу и хеш файла (MD5 или SHA256).
Восстанавливает ранее помещенный на карантин файл в исходное местоположение. Если в исходном местоположении есть файл с таким же именем, восстановление не выполняется.
Параметр доступе, если вы настроили интеграцию с Kaspersky Anti Targeted Attack.
Копирует файлы, связанные с алертами Kaspersky Anti Targeted Attack, из инфраструктуры Kaspersky Anti Targeted Attack в Kaspersky SOC. Скопированные файлы используются аналитиками MDR SOC для исследования алертов Kaspersky Anti Targeted Attack.
Допустимые параметры:
Доступно, если вы настроили интеграцию с Open Single Management Platform 2.0.
Копирует файлы, связанные с алертами или инцидентами Open Single Management Platform 2.0, из инфраструктуры Open Single Management Platform в Kaspersky SOC. Скопированные файлы используются аналитиками MDR SOC для расследования алертов и инцидентов Open Single Management Platform.
Допустимые параметры:
В этом типе действия по реагированию могут передаваться файлы, содержащие персональные и конфиденциальные данные.
|
См. также: Использование функций Kaspersky Endpoint Detection and Response Optimum |