Параметры инцидента

Для реагирования на угрозы EDR необходимо задать основные параметры запроса, например, с помощью JSON:

task – тип задачи (см. ниже).
targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
responseEventIncidentArea – название приложения, которое инициировало запуск скрипта (например, KUMA). Этот параметр будет добавлен в название создаваемой задачи.

Для настройки параметров реагирования на угрозы EDR вам нужно в параметре "KLINCDT_BODY": json.dumps(data) задать параметры задачи в JSON. В результате в консоли Kaspersky Security Center приложение создает задачу [Response][KUMA] <task type> - <Date> <Time> - <ID>.

Получение файла – getFile

Параметры задачи Получение файла

Параметр	Тип	Описание
`md5hash`	`string`	MD5-хеш файла, который вам нужно получить.
`sha256hash`	`string`	SHA256-хеш файла, который вам нужно получить.
`path`	`string`	Путь к файлу, который вам нужно получить.

Пример

type getFile = {

task: 'getFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

};

responseEventIncidentArea: string;

};

Удаление файла – deleteFile

Параметры задачи Удаление файла

Параметр	Тип	Описание
`md5hash`	`string`	MD5-хеш файла, который вам нужно удалить.
`sha256hash`	`string`	SHA256-хеш файла, который вам нужно удалить.
`path`	`string`	Путь к файлу, который вам нужно удалить.
`searchInSubfolders?`	`boolean`	Поиск файла, который вам нужно удалить, в подпапках

Пример

type deleteFile = {

task: 'deleteFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

// recursive search for a file (subfolder), optional

searchInSubfolders?: boolean;

};

responseEventIncidentArea: string;

};

Помещение файла на карантин – quarantineFile

Параметры задачи Помещение файла на карантин

Параметр	Тип	Описание
`md5hash`	`string`	MD5-хеш файла, который вам нужно поместить на карантин.
`sha256hash`	`string`	SHA256-хеш файла, который вам нужно поместить на карантин.
`path`	`string`	Путь к файлу, который вам нужно поместить на карантин.

Пример

type quarantineFile = {

task: 'quarantineFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

};

responseEventIncidentArea: string;

};

Поиск IOC – iocScan

Параметры задачи Поиск IOC

Параметр	Тип	Описание
`ioc`	`string`	Путь к ZIP-архиву с IOC-файлом в кодировке base64, по которому требуется выполнять поиск. Обязательный аргумент. Введите этот аргумент вручную.
`isolateHost`	`boolean`	Изоляция компьютера от сети при обнаружении индикатора компрометации для предотвращения распространения угрозы.
`scanCriticalAreas`	`boolean`	Запуск задачи Проверка важных областей при обнаружении индикатора компрометации.
`quarantineObject`	`boolean`	Удаление вредоносного объекта при обнаружении индикатора компрометации. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин.

Пример

type iocScan = {

task: 'iocScan';

targetHost: string;

params: {

// the path to the zip archive with ioc files in base64 encoding

ioc: string;

// isolation of the computer from the network

isolateHost: boolean;

// critical areas scan

scanCriticalAreas: boolean;

// quarantine the file

quarantineObject: boolean;

};

responseEventIncidentArea: string;

};

Запуск процесса – startProcess

Параметры задачи Запуск процесса

Параметр	Тип	Описание
`executablePath`	`string`	Путь к исполняемому файлу для запуска процесса.
`arguments?`	`string`	Дополнительные аргументы для запуска процесса.
`workingFolder?`	`string`	Путь к рабочей папке процесса.

Пример

type startProcess = {

task: 'startProcess';

targetHost: string;

params: {

// the path to the file

executablePath: string;

// command line arguments, optional

arguments?: string;

// a working folder, optional

workingFolder?: string;

};

responseEventIncidentArea: string;

};

Завершение процесса – terminateProcess

Параметры задачи Завершение процесса

Параметр	Тип	Описание
`md5hash`	`string`	MD5-хеш файла, процесс которого вам нужно завершить.
`sha256hash`	`string`	SHA256-хеш файла, процесс которого вам нужно завершить.
`path`	`string`	Путь к файлу, процесс которого вам нужно завершить.
`caseSensitive`	`boolean`	Режим учета регистра при поиске файла.

Пример

type terminateProcess = {

task: 'terminateProcess';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

// case sensitive of the file name

caseSensitive: boolean;

};

responseEventIncidentArea: string;

};

Сетевая изоляция компьютера – isolateHost

Параметры Сетевой изоляции компьютера

Параметр	Тип	Описание
`action`	`string`	MD5-хеш файла, который вам нужно получить.

Пример

type isolateHost = {

task: 'isolateHost';

targetHost: string;

params: {

// 0 - turning off network isolation, 1 - turning on network isolation

action: number;

};

responseEventIncidentArea: string;

};

Запрет запуска объектов – preventExecution

Параметры Запрета запуска объектов

Параметр	Тип	Описание
`hash`	`string`	MD5-хеш файла, запуск которого вы хотите запретить.
`path`	`string`	Путь к файлу, запуск которого вы хотите запретить.
`caseSensitive`	`boolean`	Режим учета регистра при поиске файла.

Пример

type preventExecution = {

task: 'preventExecution';

targetHost: string;

params: {

// a valid md5 hash of the file

hash: string;

// the path to the file

path: string;

// case sensitive of the file name

caseSensitive: boolean;

};

responseEventIncidentArea: string;

};

Поиск вредоносного ПО – onDemandScan

Параметры задачи Поиск вредоносного ПО

Параметр	Тип	Описание

`path`	`string`	Список файлов и папок для выборочной проверки через пробел
`recursive`	`boolean`	Режим рекурсивной проверки.
`type`	`number`	Область проверки.
ScanObjectType = Enum("ScanObjectType", [ ("SystemMemory", 14), ("StartupObjectsAndRunningProcesses", 15), ("DiskBootSectors", 16), ("SystemBackupStorage", 17), ("Email", 18), ("Folder", 22), ("AllRemovableDrives", 23), ("AllNetworkDrives", 24), ("AllFixedDrives", 25)])

Пример

type onDemandScan = {

task: 'onDemandScan';

targetHost: string;

// please note, this is an array

// array of scan object

params: [{

// enabling the scan object

enabled: boolean;

// an empty string or the path to the folder to scan

path: string;

// recursive scan mode

recursive: boolean;

// ID scan object

type: number;

}];

responseEventIncidentArea: string;

};

В начало