對於 EDR 威脅回應,您需要以 JSON 格式指定基本請求參數,例如:
task 是工作的類型(見下文)。targetHost 是必須執行指令碼的電腦的 ID。必需參數。指令碼從事件中取得此參數。responseEventIncidentArea 是執行指令碼的應用程式的名稱(例如,KUMA)。此參數會被新增到所建立工作的名稱中。要配置 EDR 威脅回應,您需要以 JSON 格式在 "KLINCDT_BODY": json.dumps(data) 參數中指定工作設定。結果,應用程式在卡巴斯基安全管理中心主控台中建立 [Response][KUMA] <task type> - <Date> <Time> - <ID>。
獲取檔案 – getFile
獲取檔案工作設定
參數 |
類型 |
描述 |
|---|---|---|
|
|
您想要取得的檔案的 MD5 雜湊值。 |
|
|
您想要取得的檔案的 SHA256 雜湊值。 |
|
|
您想要取得的檔案的路徑。 |
範例
type getFile = {
task: 'getFile';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
};
responseEventIncidentArea: string;
};
刪除檔案 – deleteFile
刪除檔案工作設定
參數 |
類型 |
描述 |
|---|---|---|
|
|
您要刪除的檔案的 MD5 雜湊值。 |
|
|
您要刪除的檔案的 SHA256 雜湊值。 |
|
|
您要刪除的檔案的路徑。 |
|
|
在子資料夾中搜尋要刪除的檔案。 |
範例
type deleteFile = {
task: 'deleteFile';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
// recursive search for a file (subfolder), optional
searchInSubfolders?: boolean;
};
responseEventIncidentArea: string;
};
移動檔案到隔離區 – quarantineFile
移動檔案到隔離區工作設定
參數 |
類型 |
描述 |
|---|---|---|
|
|
您要隔離的檔案的 MD5 雜湊值。 |
|
|
您要隔離的檔案的 SHA256 雜湊值。 |
|
|
您想要隔離的檔案的路徑。 |
範例
type quarantineFile = {
task: 'quarantineFile';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
};
responseEventIncidentArea: string;
};
IOC 掃描 – iocScan
IOC 掃描工作設定
參數 |
類型 |
描述 |
|---|---|---|
|
|
包含您想要用於掃描的 base64 編碼的 IOC 檔案的 ZIP 壓縮檔案的路徑。必需參數。手動輸入此參數。 |
|
|
當偵測到入侵指標時將電腦與網路隔離,以防止威脅蔓延。 |
|
|
當偵測到入侵指標時執行 關鍵區域掃描工作。 |
|
|
當偵測到入侵指標時刪除惡意物件。在刪除物件之前,Kaspersky Endpoint Security 會建立備份副本以防物件以後需要還原。Kaspersky Endpoint Security 會將備份副本移動到隔離。 |
範例
type iocScan = {
task: 'iocScan';
targetHost: string;
params: {
// the path to the zip archive with ioc files in base64 encoding
ioc: string;
// isolation of the computer from the network
isolateHost: boolean;
// critical areas scan
scanCriticalAreas: boolean;
// quarantine the file
quarantineObject: boolean;
};
responseEventIncidentArea: string;
};
啟動處理程序 – startProcess
啟動處理程序工作設定
參數 |
類型 |
描述 |
|---|---|---|
|
|
用於啟動處理程序的可執行檔的路徑。 |
|
|
用於啟動處理程序的附加命令列參數。 |
|
|
處理程序工作資料夾的路徑。 |
範例
type startProcess = {
task: 'startProcess';
targetHost: string;
params: {
// the path to the file
executablePath: string;
// command line arguments, optional
arguments?: string;
// a working folder, optional
workingFolder?: string;
};
responseEventIncidentArea: string;
};
停止處理程序 – terminateProcess
停止處理程序工作設定
參數 |
類型 |
描述 |
|---|---|---|
|
|
您想要終止其處理程序的檔案的 MD5 雜湊值。 |
|
|
您想要終止其處理程序的檔案的 SHA256 雜湊值。 |
|
|
您要刪除的檔案的路徑。 |
|
|
搜尋文件時區分大小寫。 |
範例
type terminateProcess = {
task: 'terminateProcess';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
// case sensitive of the file name
caseSensitive: boolean;
};
responseEventIncidentArea: string;
};
電腦網路隔離 – isolateHost
電腦網路隔離設定
參數 |
類型 |
描述 |
|---|---|---|
|
|
您想要取得的檔案的 MD5 雜湊值。 |
範例
type isolateHost = {
task: 'isolateHost';
targetHost: string;
params: {
// 0 - turning off network isolation, 1 - turning on network isolation
action: number;
};
responseEventIncidentArea: string;
};
執行防護 – – preventExecution
執行防護設定
參數 |
類型 |
描述 |
|---|---|---|
|
|
您想要阻止執行的檔案的 MD5 雜湊值。 |
|
|
您想要阻止執行的檔案的路徑。 |
|
|
搜尋文件時區分大小寫。 |
範例
type preventExecution = {
task: 'preventExecution';
targetHost: string;
params: {
// a valid md5 hash of the file
hash: string;
// the path to the file
path: string;
// case sensitive of the file name
caseSensitive: boolean;
};
responseEventIncidentArea: string;
};
惡意軟體掃描 – onDemandScan
惡意軟體掃描工作設定
參數 |
類型 |
描述 |
|---|---|---|
|
|
自訂掃描的檔案和資料夾的空格分隔清單。 |
|
|
遞歸掃描模式。 |
|
|
掃描範圍。 |
ScanObjectType = Enum("ScanObjectType", [ ("SystemMemory", 14), ("StartupObjectsAndRunningProcesses", 15), ("DiskBootSectors", 16), ("SystemBackupStorage", 17), ("Email", 18), ("Folder", 22), ("AllRemovableDrives", 23), ("AllNetworkDrives", 24), ("AllFixedDrives", 25)]) |
||
範例
type onDemandScan = {
task: 'onDemandScan';
targetHost: string;
// please note, this is an array
// array of scan object
params: [{
// enabling the scan object
enabled: boolean;
// an empty string or the path to the folder to scan
path: string;
// recursive scan mode
recursive: boolean;
// ID scan object
type: number;
}];
responseEventIncidentArea: string;
};
頁面頂部