Kaspersky Managed Detection and Response
- Справка Kaspersky Managed Detection and Response
- Что нового
- О решении Kaspersky Managed Detection and Response
- Аппаратные и программные требования
- Архитектура Kaspersky Managed Detection and Response
- Интерфейс Kaspersky Managed Detection and Response
- Раздел MDR в Kaspersky Security Center
- Настройка плагина MDR в Kaspersky Security Center
- Настройка плагина MDR
- Настройка прав доступа в Kaspersky Security Center
- Просмотр и изменение параметров MDR в Kaspersky Security Center
- Использование функций плагина MDR на виртуальном Сервере администрирования
- Использование функций MDR в Kaspersky Security Center с помощью прокси-сервера
- Изменение сертификатов для использования функций MDR в Kaspersky Security Center с прокси-сервером или антивирусным приложением
- Скрытие и отображение функций MDR в Kaspersky Security Center
- Настройка плагина MDR в Kaspersky Security Center
- Консоль MDR
- Переключение языка интерфейса в Kaspersky Security Center
- Переключение языка для уведомлений и отчетов в Kaspersky Security Center
- Переключение языка интерфейса в Консоли MDR
- Раздел MDR в Kaspersky Security Center
- Активация Kaspersky Managed Detection and Response
- Деактивация Kaspersky Managed Detection and Response
- Развертывание Kaspersky Managed Detection and Response
- О конфигурационном файле MDR
- Лицензирование
- Предоставление данных
- О Kaspersky Security Network
- Панели мониторинга в Консоли MDR
- Получение сводной информации
- Получение уведомлений
- Управление пользователями
- Управление активами
- Управление инцидентами
- Об инцидентах
- Просмотр и поиск инцидентов в Консоли MDR
- Фильтрация инцидентов в Консоли MDR
- Создание пользовательских инцидентов в Консоли MDR
- Просмотр подробной информации об инцидентах в Консоли MDR
- Типы реагирования на инциденты
- Обработка реагирования на инциденты в Консоли MDR
- Автоматическое подтверждение действий по реагированию в Консоли MDR
- Автоматическое применение действий по реагированию в Kaspersky Security Center
- Закрытие инцидентов в Консоли MDR
- Использование функций Kaspersky Endpoint Detection and Response Optimum
- Мультитенантность
- Управление решением с помощью REST API
- Сценарий: авторизация на основе токенов
- Создание API-подключения в Kaspersky Security Center
- Создание API-подключения в Консоли MDR
- Изменение API-подключения в Kaspersky Security Center
- Изменение API-подключения в Консоли MDR
- Создание токена доступа в Kaspersky Security Center
- Создание токена доступа в Консоли MDR
- Работа с REST API
- Отзыв обновления токена в Kaspersky Security Center
- Удаление API-подключения в Kaspersky Security Center
- Удаление API-подключения в Консоли MDR
- Известные проблемы
- Обращение в Службу технической поддержки
- Источники информации о решении
- Глоссарий
- Информация о стороннем коде
- Уведомления о товарных знаках
Типы реагирования на инциденты
Аналитики MDR SOC исследуют инциденты и предлагают действия по реагированию, которые вы можете принять или отклонить. Это стандартный способ обработки инцидентов в Kaspersky Managed Detection and Response.
Однако вы можете создавать действия по реагированию вручную, используя функции Kaspersky Endpoint Detection и Response Optimum.
В этой статье описаны только типы действий по реагированию на инциденты, предлагаемые аналитику SOC.
Каждое действие по реагированию может иметь набор параметров, представленных на вкладке Реагирование для инцидента.
Доступные типы действий по реагированию:
- Получить файл
Копирование файла из вашей инфраструктуры в Kaspersky SOC. Если вы принимаете это действие по реагированию, указанный файл будет скопирован в Kaspersky SOC.
Обратите внимание, что при этом типе действий могут передаваться файлы, содержащие личные и конфиденциальные данные.
Допустимые параметры:
- Путь к зараженному файлу
Абсолютный путь к файлу. Например,
C:\\file.exe. - Максимальный размер файла
Максимальный размер файла в МБ.
Если размер зараженного файла превышает указанное максимальное значение, выполнить действие по реагированию не удастся, но предлагаемое действие появится на вкладке История для инцидента.
- Путь к зараженному файлу
- Изолировать
Изоляция указанного актива от сети.
Если нужно срочно отключить сетевую изоляцию, обратитесь в службу технической поддержки или напишите запрос на вкладке Обсуждение инцидента.
Допустимые параметры:
- Пароль для отключения изоляции
Пароль для отключения изоляции. Как только служба технической поддержки получит запрос на отключение сетевой изоляции, вам отправят информацию об использовании пароля.
- Идентификатор задачи
Уникальный идентификатор задачи, используемый совместно с Паролем отключения изоляции для отключения сетевой изоляции вручную.
- Данные пароля
Вы можете проверить действительность Пароля, сформировав на его основе производный ключ и сравнив полученное значение со значением параметра Производный ключ.
- Версия
Цифровая версия правил создания пароля. Версия 1 означает, что для создания производного ключа применяются следующие параметры PBKDF2:
- Хеш-алгоритм HMACSHA256.
- 10000 итераций.
- Длина ключа – 32 байта.
- Соль
Соль в шестнадцатеричном формате (HEX) для получения производного ключа с помощью PBKDF2.
- Производный ключ
Производный ключ в шестнадцатеричном формате (HEX).
- Версия
- Срок изоляции актива
Время в секундах, по истечении которого изоляция будет отключена автоматически. Если значение времени не указано, применяется значение по умолчанию, равное семи дням. Максимальное значение – 2 678 400 секунд.
- Правила исключения
Массив правил для настраиваемых портов, протоколов, IP-адресов и процессов, к которым не применяется изоляция.
- Направление
Направление трафика. Возможные значения: Входящий, Исходящий, Оба.
- Протокол
Номер протокола согласно спецификации IANA.
Допустимые значения:
- 1 (ICMP)
- 6 (TCP)
- 17 (UDP)
- 58 (IPv6-ICMP)
- Диапазон удаленных портов
Диапазон удаленных портов, указанный в полях С и По.
- Удаленный IPv4-адрес
Удаленный IPv4-адрес или маска подсети.
- Удаленный IPv6-адрес
Удаленный IPv6-адрес или маска подсети.
- Диапазон локальных портов
Диапазон локальных портов, указанный в полях С и По.
- Локальный IPv4-адрес
Локальный IPv4-адрес или маска подсети.
- Локальный IPv6-адрес
Локальный IPv6-адрес или маска подсети.
- Процесс
Путь к образу процесса, указанный в поле Образ → Путь.
- Направление
- Пароль для отключения изоляции
- Отключить изоляцию
Отключение сетевой изоляции указанного актива.
- Удалить ключ реестра
Удаление ключа реестра или ветки реестра на указанном активе.
Допустимые параметры:
- Ключ
Абсолютный путь ключа, который начинается с
HKEY_LOCAL_MACHINEилиHKEY_USERS. Например,HKEY_LOCAL_MACHINE\\SYSTEM\\WebClient.Если ключ является символической ссылкой, будет удален только этот ключ, а целевой ключ ссылки останется нетронутым.
- Значение
Значение ключа.
Если этот параметр не указан, ключ будет удален рекурсивно. Во время рекурсивного удаления каждый вложенный ключ, являющийся символической ссылкой, будет удален, а его целевой ключ останется нетронутым.
Если значение ключа – пустая строка, значение по умолчанию будет удалено.
- Ключ
- Дамп памяти
Создание дампа памяти и отправка его в Kaspersky SOC.
Допустимые параметры:
- Тип дампа
Дамп памяти может быть одного из двух типов:
- Полный дамп памяти
Дамп всей памяти актива.
- Дамп процесса
Дамп указанного процесса.
- Полный дамп памяти
- Максимальный размер файла
Максимальный размер файла дампа в формате ZIP в МБ. Значение по умолчанию – 100 МБ.
- Процесс
Идентификатор процесса и сведения об образе.
- Образ
- Путь
Абсолютный путь к файлу. Например,
%systemroot%\\system32\\svchost.exe. - SHA-256
Контрольная сумма SHA256 в шестнадцатеричном формате (HEX).
- MD5
Контрольная сумма MD5 в шестнадцатеричном формате (HEX).
- Путь
- Уникальный идентификатор
Уникальный идентификатор процесса.
- Образ
- Ограничение на количество процессов
Максимальное количество процессов, которые могут содержаться в файле дампа.
- Тип дампа
- Прервать процесс
Прервать процесс на указанном активе с помощью Kaspersky Endpoint Security для Windows. Прервать процесс можно указав его имя или идентификатор процесса (PID).
- Запустить скрипт
Запускает скрипт на указанном активе с помощью Kaspersky Endpoint Security для Windows.
Чтобы это действие по реагированию сработало, на активе должен быть установлен компонент PowerShell. Вы можете просмотреть запускаемый скрипт и его описание в Консоли MDR.
- Поместить файл на карантин
Помещает потенциально опасный файл в специальное локальное хранилище. Файлы в этом хранилище хранятся в зашифрованном виде и не угрожают безопасности устройства. В запросе подтверждения указывается актив, путь к файлу и хеш файла (MD5 или SHA256).
- Восстановить файл из карантина
Восстанавливает ранее помещенный на карантин файл в исходное местоположение. Если в исходном местоположении есть файл с таким же именем, восстановление не выполняется.
|
См. также: Использование функций Kaspersky Endpoint Detection and Response Optimum |