Работа с файлами, полученными в результате действий по реагированию

Для просмотра раздела Файлы у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Администратор SOC, Менеджер SOC, Аналитик 1-го уровня, Аналитик 2-го уровня, Младший аналитик, Подтверждающий, Аудитор.

В разделе Файлы отображаются файлы, которые вы загрузили вручную и получили в результате выполнения следующих действий по реагированию: Файл, Данные для расследования, Ключ реестра, NTFS-метафайлы, Процесс дампа памяти, Получить файл из карантина.

Если место, выделенное при развертывании Kaspersky EDR Expert, начинает подходить к концу, из хранилища Файлы будут удалены самые старые файлы, и вы не будете получать соответствующие уведомления. Файлы, для которых была обнаружена угроза, не удаляются. Подобные файлы связываются с алертами, созданными в результате обнаружения угроз.

Просмотр таблицы файлов

Чтобы открыть таблицу файлов, из главного меню перейдите в Операции → Хранилища → Файлы. В таблице отображаются файлы, хранящиеся в тенантах, к которым у вас есть права доступа.

В правой верхней части панели инструментов вы можете группировать, фильтровать и искать данные в таблице следующим образом:

• Нажмите на значок параметров () и выберите столбцы для отображения в таблице.
• Нажмите на значок фильтрации (), укажите и примените критерий фильтрации в открывшемся меню.
• Нажмите на значок поиска (), в появившемся поле Поиск введите то, что вы хотите найти, и нажмите на клавишу Enter.

Таблица содержит следующие столбцы:

• Имя или полный путь. Если вы загрузили файл вручную, имя файла будет отображаться в столбце. Если файл получен в результате действия по реагированию, будет отображаться полный путь к файлу.
• Размер. Размер файла.
• MD5. MD5-хеш файла, если таковой имеется.
• SHA256. SHA256-хеш файла, если таковой имеется.
• Когда загружен. Дата добавления файла в хранилище Файлы.
• Обновлено. Дата обновления файла в хранилище Файлы.
• Тенант. Тенант, к которому привязан файл.

  Если в режиме распределенного решения тенант был создан на резервном узле, в поле Тенант отображается значок резервного узла ().

  

  Двухуровневая иерархия серверов с установленными компонентами Central Node. Эта иерархия выделяет первичный управляющий сервер (Primary Central Node (PCN)) и вторичные серверы (Secondary Central Nodes (SCN)).

• Источник. Имя пользователя, который добавил файл в раздел Файлы, или имя устройства, с которого файл был получен в результате действия по реагированию.
• Способ добавления. Метод, с помощью которого файл был добавлен в хранилище Файлы.

  Если файл был загружен пользователем, в столбце будет отображаться значение Загружен пользователем. Если файл был получен в результате действия по реагированию, будет отображаться имя соответствующего действия.

• Статус проверки. Результат последней проверки файла. В этом столбце могут отображаться следующие значения:
  • Не проверено
  • Проверяется
  • Не обнаружено
  • Обнаружено
  • Ошибка
• Описание. Столбец содержит информацию (при наличии), которую вы указали в поле Описание при настройке параметров действия по реагированию или загрузке файла вручную.

Вы можете фильтровать данные в столбцах Способ добавления и Статус проверки, нажав на заголовок столбца и выбрав интересующий вас метод или статус из раскрывающегося списка.

Выполнение действий в таблице файлов

В левой верхней части панели инструментов вы можете выполнить следующие действия:

• Обновить данные в таблице, нажав на кнопку Обновить.
• Загрузить файл со своего компьютера в хранилище Файлы, нажав на кнопку Загрузить.

  В открывшейся панели справа вам нужно указать тенант, которому будет принадлежать файл, в поле Тенант перейти по ссылке Загрузка файлов, а затем выбрать файл на своем устройстве. При необходимости вы также можете добавить комментарий или описание в поле Описание и включить переключатель Проверка файлов после загрузки, если вы хотите проверить файлы на наличие угроз.

  После того как вы нажмете на кнопку Загрузить, панель закроется, а загруженный файл отобразится в таблице.

• Сохранить файлы на свой компьютер. Для этого установите флажок рядом с одним или несколькими файлами в таблице, а затем нажмите на кнопку Скачать.
• Проверить выбранные файлы на наличие угроз с помощью следующих технологий: YARA, Sandbox и Anti-Malware Engine. Для этого установите флажок рядом с одним или несколькими файлами в таблице и нажмите на кнопку Проверить.
• Удалить файлы. Для этого установите флажок рядом с одним или несколькими файлами в таблице, а затем нажмите на кнопку Удалить.

• Перейти к списку алертов, с которыми связаны файлы. Для этого установите флажок рядом с одним или несколькими файлами в таблице, а затем нажмите на кнопку Найти алерты. Отображаются алерты, созданные в результате обнаружения угроз, и алерты, из деталей которых вы запускали действия по реагированию (если в результате реагирования файл был помещен в раздел Файлы).

Параметр Проверить недоступен и хеш файла не рассчитывается для файлов, полученных в результате следующих действий: Данные для расследования, Ключ реестра, NTFS-метафайлы, Процесс дампа памяти.

Просмотр сведений файла

Вы можете открыть сведения о файле, перейдя по ссылке в столбце Имя или полный путь в таблице.

В панели, которая откроется справа, будут отображаться метаданные файла (например, имя или путь к файлу, размер, хеш), а также статус и результат его проверки:

• Если архив был отправлен на проверку, в сведениях о файле отображается информация для тех файлов в архиве, для которых была обнаружена угроза, а также хеши таких файлов и заключения по каждой из технологий Anti-Malware, Sandbox, YARA.
• Если файл не был проверен, отображается соответствующая информация.
• Если проверка недоступна для файла, в сведениях о файле отображаются только метаданные.

Если файл был загружен вручную и проверен на наличие угроз, в сведениях файла также можно просмотреть отчет о проверке, нажав на ссылку Загрузить отчет в поле Статус проверки.

В разделе сведений файла можно выполнить следующие действия:

• Вы можете выполнять следующие действия с помощью соответствующих кнопок на панели инструментов: проверка, загрузка и удаление файлов, поиск связанных с ними алертов, изменение описания файла, переход в историю действий по реагированию.

  Параметр Показать в истории реагирований недоступен для файлов, загруженных вручную. Для файла, полученного в результате действия реагирования, после выбора параметра Показать в истории реагирований, откроется раздел История реагирований, где таблица событий будет отфильтрована по файлу.

• Перейдите по ссылке с хешем MD5 или SHA256, а затем в раскрывающемся списке выберите действие, которое хотите выполнить:
  • Создать правило запрета для файла, в котором обнаружена угроза. После того как вы выберете этот параметр, откроется панель Добавить правило запрета, в которой вы можете настроить параметры действия по реагированию Добавить правило запрета.
  • Найти на Kaspersky TIP позволит проверить хеш файла в Kaspersky Threat Intelligence Portal.
  • Просмотреть отчет Sandbox. Данный параметр доступен для файлов, загруженных в хранилище Файлы вручную и проверенных с помощью технологии Sandbox.
  • Найти связанные алерты. Связанными называются алерты, которые были созданы в результате обнаружения угроз, и те, по данным которых вы запускали действия по реагированию (если файл был помещен в хранилище Файлы в результате действия по реагированию).
  • Найти связанные события – при этом вы перейдете в раздел Поиск угроз, где будет отображаться таблица событий с фильтрацией по хешу файла.

В начало