Действия по реагированию с помощью KATA/KEDR

Развернуть все | Свернуть все

После настройки интеграции Kaspersky XDR Expert и Kaspersky Anti Targeted Attack Platform вы можете выполнять действия по реагированию на устройстве или с хешом файла одним из следующих способов:

• в сведениях об обнаружении или инциденте;
• из сведений об устройстве;
• из сведений о событии;

  Этот параметр доступен для действия по реагированию Добавить правило запрета.

• с графа расследования.

  Этот параметр доступен, если граф расследования построен.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы выполнить действия по реагированию с помощью Kaspersky Anti Targeted Attack Platform, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Чтобы выполнить действие по реагированию с помощью Kaspersky Anti Targeted Attack Platform:

1. В главном меню перейдите в раздел Мониторинг и отчеты, выберите раздел Обнаружения или Инциденты.

   Если вы хотите выполнить действие по реагированию из графа расследования, выберите раздел Инциденты.

   Если вы хотите выполнить действие по реагированию из событий об обнаружении, выберите раздел Обнаружения.

2. Нажмите на идентификатор нужного обнаружения или инцидента.
3. В открывшемся окне выполните одно из следующих действий:
   • Если вы хотите выполнить действие по реагированию с помощью сведений об обнаружении или инциденте, перейдите на вкладку Активы и установите флажок рядом с нужным устройством.

     При необходимости вы можете выбрать несколько устройств.

   • Если вы хотите выполнить действие по реагированию с помощью сведений о событии, перейдите на вкладку Сведения, выберите нужный хеш файла, нажмите на кнопку Добавить правило запрета и выберите устройство, для которого вы хотите добавить правило запрета.

     Вы также можете перейдите на вкладку Наблюдаемые объекты, установить флажок рядом с хешем файла, который вы хотите заблокировать, и нажать на кнопку Добавить правило запрета.

   • Если вы хотите выполнить действие по реагированию с помощью сведений об устройстве, перейдите на вкладку Активы, нажмите на имя нужного устройства, а затем в раскрывающемся списке выберите Просмотреть свойства.
   • Если вы хотите выполнить действие по реагированию с помощью графа расследования, нажмите на кнопку Посмотреть на графе. В открывшемся графе расследования нажмите на имя устройства, чтобы открыть сведения об устройстве.
4. В раскрывающемся списке Выбрать действия по реагированию выберите действие, которое вы хотите выполнить:
   • Включить сетевую изоляцию

     Если вы выберете это действие по реагированию для устройства, на котором уже включена сетевая изоляция, параметры будут перезаписаны новыми значениями.

     После выбора этого действия по реагированию необходимо настроить нужные параметры в окне, открывающемся в правой части экрана.

   • Выключить сетевую изоляцию

     Вы можете выбрать это действие для устройств, на которых включена сетевая изоляция.

   • Запустить исполняемый файл

     Исполняемый файл всегда запускается от имени системы и должен быть доступен на устройстве до начала действия по реагированию.

     После выбора этого действия по реагированию необходимо настроить нужные параметры в окне, открывающемся в правой части экрана.

   • Добавить правило запрета

     После выбора этого действия по реагированию необходимо настроить нужные параметры в окне, открывающемся в правой части экрана.

   • Удалить правило запрета

     Вы можете выбрать это действие для устройств, на которых было применено правило запрета.

   Все перечисленные действия по реагированию доступны на устройствах, использующих Kaspersky Endpoint Agent для Windows или Kaspersky Endpoint Security для Windows в роли компонента Endpoint Agent. На устройствах с Kaspersky Endpoint Agent для Linux и Kaspersky Endpoint Security для Linux единственным доступным действием по реагированию является Запустить исполняемый файл.

5. В открывшемся окне задайте необходимые параметры действия по реагированию, выбранного на шаге 4:
   • Для сетевой изоляции
     1. Укажите период изоляции устройства и единицы измерения.
     2. Если вы хотите добавить исключение из правила сетевой изоляции, нажмите на кнопку Добавить исключение и заполните следующие поля:
        • Направление трафика LabelNetwork.

          Вы можете выбрать одно из значений:

          • Входящий

            При выборе этого направления необходимо указать диапазон локальных портов в полях Начальный порт и Конечный порт.

          • Исходящий

            Если вы выбрали это направление, вам нужно указать диапазон удаленных портов в полях Начальный порт и Конечный порт.

          • Входящий/Исходящий

            Если вы выберете это направление, вы не сможете указать диапазон портов.

        • IP-адрес актива.
     3. Нажмите на кнопку Включить.

        Окно закрыто.

   • Для запуска исполняемого файла.
     1. Заполните следующие поля:
        • Путь к исполняющему файлу.
        • Командная строка параметров.
        • Рабочая директория.
     2. Нажмите на кнопку Выполнить.

        Окно закрыто.

   • Для добавления правила запрета
     1. Укажите хеш файла, который вы хотите заблокировать:
        • SHA256.
        • MD5

        Если вы хотите указать более одного хеша, нажмите на кнопку Добавить хеш.

     2. Нажмите на кнопку Добавить.

        Окно закрыто.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

В начало