Tipos de respuesta

Expandir todo | Contraer todo

Los analistas de SOC de MDR examinan los incidentes y crean respuestas que usted puede aceptar o rechazar. Esta es la forma predeterminada de manejar los incidentes en Kaspersky Managed Detection and Response.

Sin embargo, puede crear respuestas manualmente mediante las funciones de Kaspersky Endpoint Detection y Response Optimum.

Este artículo solo describe los tipos de respuestas de los analistas de SOC.

Cada respuesta puede tener un conjunto de parámetros que están presentes en la pestaña Respuestas de un incidente.

Los tipos de respuesta disponibles son:

• Obtener el archivo

  Copiar un archivo de su infraestructura a Kaspersky SOC. Si acepta esta respuesta, el archivo especificado se copiará en Kaspersky SOC.

  Tenga en cuenta que este tipo de respuesta puede obtener archivos que contengan datos personales o confidenciales.

  Los posibles parámetros son:

  • Ruta del archivo infectado

    La ruta absoluta del archivo. Por ejemplo, C:\\file.exe.

  • Tamaño máximo del archivo

    El tamaño máximo del archivo, en MB.

    Si el archivo infectado excede el tamaño de archivo máximo especificado, el intento de aceptar la respuesta fallará y la respuesta no se realizará, pero aparecerá en la pestaña Historial de un incidente.

• Aislar

  Aislar de la red el activo especificado.

  En caso de que necesite desactivar urgentemente el aislamiento de red, comuníquese con el soporte técnico o escriba una solicitud en la pestaña Comunicación del incidente.

  Los posibles parámetros son:

  • Contraseña para desactivar el aislamiento

    La contraseña para desactivar el aislamiento. Una vez que el soporte técnico reciba su solicitud para deshabilitar el aislamiento de red, le enviarán el procedimiento con detalles sobre el uso de la contraseña.

  • Id. de tarea

    El identificador de tarea único que se usa junto con la Contraseña para desactivar el aislamiento para desactivar manualmente el aislamiento de la red.

  • Detalles de la contraseña

    Puede comprobar la validez de la contraseña generando una clave derivada a partir de ella y comparando el valor resultante con el valor del parámetro Clave derivada.

    • Versión

      La versión numérica de las reglas de creación de contraseñas. Una versión de 1 significa que se aplican los siguientes parámetros de PBKDF2 para crear una clave derivada:

      • Algoritmo hash HMACSHA256
      • 10 000 iteraciones
      • Longitud de clave de 32 bytes
    • Sal

      La sal en formato HEX para obtener una clave derivada a través de PBKDF2.

    • Clave derivada

      La clave derivada en formato HEX.

  • Plazo de aislamiento del activo

    Tiempo de espera en segundos después del cual el aislamiento se desactiva automáticamente. Si no se especifica un tiempo de espera personalizado, se aplica el tiempo de espera predeterminado de siete días. El valor máximo es 2 678 400 segundos.

  • Reglas de exclusión

    Matriz de reglas con puertos, protocolos, direcciones IP y procesos personalizados a los que no se aplica el aislamiento.

    • Dirección

      La dirección del tráfico. Los valores posibles son: Entrante, Saliente y Ambos.

    • Protocolo

      El número de protocolo de acuerdo con la especificación de IANA.

      Los posibles valores son:

      • 1 (ICMP)
      • 6 (TCP)
      • 17 (UDP)
      • 58 (IPv6-ICMP)
    • Rango de puerto remoto

      El rango de puertos remotos especificado en los campos anidados Desde y Hasta.

    • Dirección IPv4 remota

      La dirección IPv4 o máscara de subred remota.

    • Dirección IPv6 remota

      La dirección IPv6 o máscara de subred remota.

    • Rango de puerto local

      El rango de puertos locales especificados en los campos anidados Desde y Hasta.

    • Dirección IPv4 local

      La dirección IPv4 local o máscara de subred.

    • Dirección IPv6 local

      La dirección IPv6 local o máscara de subred.

    • Proceso

      La ruta a la imagen de proceso especificada en el campo anidado Imagen → Ruta.

• Desactivar el aislamiento

  Desactivar el aislamiento de red del activo especificado.

• Eliminar clave de registro

  Eliminar una clave de registro o una rama de registro en el activo especificado.

  Los posibles parámetros son:

  • Clave

    La ruta de la clave absoluta, que comienza con HKEY_LOCAL_MACHINE o HKEY_USERS. Por ejemplo, HKEY_LOCAL_MACHINE\\SYSTEM\\WebClient.

    Si la clave es un enlace simbólico, solo esta clave se eliminará, mientras que la clave de destino del enlace permanecerá intacta.

  • Valor

    El valor de la clave.

    Si no se especifica este parámetro, la clave se eliminará de forma recursiva. Durante la eliminación recursiva, cada subclave que sea un enlace simbólico se eliminará, mientras que su clave de destino permanecerá intacta.

    Si el valor de la clave es una cadena vacía, se eliminará el valor predeterminado.

• Volcado de memoria

  Crear un volcado de memoria y enviarlo a Kaspersky SOC.

  Los posibles parámetros son:

  • Tipo de volcado

    Un volcado de memoria puede ser de dos tipos:

    • Volcado completo de memoria

      Un volcado de toda la memoria de un activo.

    • Volcado de proceso

      Un volcado de un proceso específico.

  • Tamaño máximo del archivo

    El tamaño máximo de archivo para el volcado en formato ZIP, en MB. El valor predeterminado es 100 MB.

  • Proceso

    El id. del proceso y los detalles de la imagen.

    • Imagen
      • Ruta

        La ruta absoluta del archivo. Por ejemplo, %systemroot%\\system32\\svchost.exe.

      • SHA-256

        La suma de comprobación SHA256 en formato HEX.

      • MD5

        La suma de comprobación MD5 en formato HEX.

    • Id. único

      El identificador de proceso único.

  • Límite de recuento de procesos

    El número máximo de procesos que puede contener el archivo de volcado.

• Terminar proceso

  Finalizar un proceso en el activo especificado con Kaspersky Endpoint Security para Windows. Se puede especificar qué proceso finalizar por su nombre o identificador de proceso (PID).