Начиная с версии KUMA 3.4.1 и Kaspersky Endpoint Security для Windows 12.9 добавлена поддержка EDR-действий при реагировании на угрозы. При получении корреляционных событий KUMA будет выполнять EDR-действия. Для выполнения EDR-действий вам нужно предварительно настроить правила реагирования. В свойствах правил реагирования следует задать аргументы скриптов, которые доступны для скачивания. При срабатывании правила реагирования Kaspersky Endpoint Security выполняет EDR-действия и создает в Kaspersky Security Center следующие задачи:
Для выполнения этой задачи важно убедиться, что в Kaspersky Security Center в разделе Активы (Устройства) → Политики и профили политик → <название политики Kaspersky Endpoint Security> → Параметры приложения → Detection and Response → Endpoint Detection and Response переключатель Запрет запуска ВКЛЮЧЕН находится в неактивном положении.
При настройке правил реагирования с EDR-действиями мы рекомендуем учитывать нагрузку на компьютер при запуске задач. Если в результате работы правил реагирования скрипты создадут слишком много задач, производительность компьютера может снизиться. Если запросов будет слишком много, будет выполняться ротация запросов независимо от того, был ли выполнен запрос. Kaspersky Endpoint Security позволяет создавать не более 100 задач. При достижении этого ограничения Kaspersky Endpoint Security выполняет ротацию задач в Kaspersky Security Center. Срок жизни задачи составляет 30 дней.
Задачи, создаваемые при выполнении правил реагирования из KUMA, отображаются в Kaspersky Endpoint Security, и их невозможно скрыть. Они не удаляются сразу после завершения сценария реагирования. В Kaspersky Security Center эти задачи не отображаются.
Вы можете контролировать выполнение EDR-действий в консоли администрирования с помощью отчетов. Kaspersky Endpoint Security формирует события с описанием в формате '[Response][kuma] $<script name> - $<date>';. Описание в таком формате позволяет создавать выборки событий для EDR-действий.
В начало