Выполнение действий по реагированию Добавить правило запрета и Удалить правило запрета

Вы можете настроить действия по реагированию Добавить правило запрета и Удалить правило запрета для добавления и удаления правила запрета для устройства или хеша файла одним из следующих способов:

• из деталей алерта или инцидента;
• Из сведений об устройстве.
• из графа расследования.
• Из таблицы активов.
• Из раздела История реагирований.
• Из сведений о событии.

  Этот параметр доступен для действия по реагированию Добавить правило запрета. Вы можете открыть информацию о событии в деталях алерта или инцидента или в разделе Поиск угроз.

• Из сведений файла.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы выполнить действия по реагированию, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Аналитик 1-го уровня, Аналитик 2-го уровня.

Выполнение действий по реагированию из деталей алерта или инцидента

Чтобы выполнить действие по реагированию из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне выберите вкладку Активы.
3. Установите флажок рядом с требуемым устройством.

   При необходимости вы можете выбрать несколько устройств.

4. В раскрывающемся списке Выбор действий по реагированию нажмите Управлять правилами запрета, а затем в контекстном меню выберите действие по реагированию, которое вы хотите выполнить:
   • Добавить правило запрета
   • Удалить правило запрета
5. В открывшемся окне задайте необходимые параметры действия по реагированию, выбранного на шаге 4:
   • Для добавления правила запрета

     В открывшейся панели справа настройте следующие параметры:

     1. В поле MD5 или SHA256 укажите хеш файла, который вы хотите заблокировать.

        Если вы хотите указать более одного хеша, нажмите на кнопку Добавить хеш.

     2. При необходимости настройте следующие параметры:
        • Измените область действия по реагированию.

          По умолчанию в группе параметров Область действия выбран параметр Указанные активы и раскрывающийся список Активы содержит названия устройств, для которых вы ранее установили флажки.

          Вы можете изменить устройства для проверки, для которых нужно добавить правило запрета, или выбрать вариант Все активы в группе параметров Область действия для добавления правила запрета для всех устройств, принадлежащих тенанту алерта или инцидента и его дочерним тенантам.

          Для выбора доступны только те активы, с которыми вы можете выполнить действие по реагированию.
          Устройства отображаются следующим образом: устройства, относящиеся к алерту или инциденту, помещаются в начало раскрывающего списка, затем в алфавитном порядке отображаются устройства, принадлежащие тенанту алерта или инцидента, а также дочерним тенантам.

        • Включите переключатель Уведомить пользователя о блокировке выполнения файла.
        • В поле Описание напишите описание или комментарий к действию по реагированию.
     3. Нажмите на кнопку Добавить.

     Окно закрыто.

   • Для удаления правила запрета

     В открывшейся панели справа настройте следующие параметры:

     1. Выберите правило, которое вы хотите удалить:

        По умолчанию в группе параметров Правила выбран параметр Заданные правила. Если вы хотите удалить правило запрета по хешу файла, в поле MD5 или SHA256 укажите хеш файла, который нужно удалить. Если вы хотите указать более одного хеша, нажмите на кнопку Добавить хеш.

        Если вы хотите удалить все правила запрета, выберите Все правила.

     2. При необходимости настройте следующие параметры:
        • Измените область действия по реагированию.

          По умолчанию в группе параметров Область действия выбран параметр Указанные активы и раскрывающийся список Активы содержит названия устройств, для которых вы ранее установили флажки.

          Вы можете изменить устройства для проверки, для которых нужно удалить правила запрета, или выбрать вариант Все активы в группе параметров Область действия для удаления правил запрета для всех устройств, принадлежащих тенанту алерта или инцидента и его дочерним тенантам.

          Для выбора доступны только те активы, с которыми вы можете выполнить действие по реагированию.
          Устройства отображаются следующим образом: устройства, относящиеся к алерту или инциденту, помещаются в начало раскрывающего списка, а затем отображаются устройства в алфавитном порядке, принадлежащие тенанту алерта или инцидента, а также дочерним тенантам.

        • В поле Описание напишите описание или комментарий к действию по реагированию.
     3. Нажмите на кнопку Удалить.

     Окно закрыто.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действий по реагированию из сведений об устройстве

Чтобы выполнить действие по реагированию из сведений об устройстве:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотр свойств.
4. Выполните те же действия, что описаны в пунктах 4–5 в разделе Выполнение действий по реагированию из свойств устройства.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действий по реагированию из графа расследования

Этот параметр доступен, если граф расследования построен.

Чтобы выполнить действие по реагированию из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне нажмите на кнопку Посмотреть на графе.

   Откроется окно графа расследования.

3. Нажмите на имя устройства, чтобы открыть сведения об устройстве.
4. Выполните те же действия, что описаны в пунктах 4–5 в разделе Выполнение действий по реагированию из свойств устройства.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действия по реагированию из таблицы активов

Чтобы выполнить действие по реагированию из таблицы активов:

1. В главном окне приложения перейдите в раздел Управление активами → Активы (Устройства).

   Откроется таблица активов.

2. Установите флажок рядом с устройством, для которого вы хотите выполнить действие по реагированию.

   Вы можете выбрать несколько устройств.

   Архивированные устройства выбрать невозможно.

3. В раскрывающемся списке Выбор действий по реагированию нажмите Управлять правилами запрета, а затем в контекстном меню выберите действие по реагированию, которое вы хотите выполнить.
4. В открывшейся панели справа настройте параметры действий по реагированию, которые описаны на шаге 5 процедуры Реагирование из деталей алерта или инцидента.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действия по реагированию из раздела История реагирований

Чтобы выполнить действие по реагированию из раздела История реагирований:

1. В главном окне приложения перейдите в раздел Мониторинг → История реагирований.

   Откроется таблица с историей реагирования на все алерты и инциденты.

2. В раскрывающемся списке Действие по реагированию нажмите Управлять правилами запрета, а затем в контекстном меню выберите действие по реагированию, которое вы хотите выполнить.
3. В открывшейся панели справа настройте параметры действий по реагированию, которые описаны на шаге 5 процедуры Реагирование из деталей алерта или инцидента.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действия по реагированию из сведений о событии

Этот параметр доступен для действия по реагированию Добавить правило запрета.

Чтобы выполнить действие по реагированию из сведений события при его открытии из деталей алерта или инцидента:

1. В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
2. В открывшемся окне выберите вкладку Подробнее и выберите нужный хеш файла.
3. Нажмите на кнопку Добавить правило запрета и выберите устройство, для которого вы хотите добавить правило запрета.

   Вы также можете открыть вкладку Наблюдаемые объекты, установить флажок рядом с хешем файла, который вы хотите заблокировать, и нажать Добавить правило запрета.

4. Выполните те же действия, которые описаны на шаге 5 в разделе Выполнение действий по реагированию из свойств устройства.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Чтобы выполнить действие по реагированию из сведений события при их открытии из раздела Поиск угроз:

1. В главном окне приложения перейдите в раздел Мониторинг → Поиск угроз.

   Откроется таблица событий.

2. Нажмите на имя события, сведения которого вы хотите открыть.
3. В открывшемся окне со сведениями о событии нажмите на имя устройства, а затем в раскрывающемся списке выберите Добавить правило запрета.
4. Выполните те же действия, которые описаны на шаге 5 в разделе Выполнение действий по реагированию из свойств устройства.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Просмотр результата действия по реагированию

Вы можете просмотреть результаты выполнения действия по реагированию одним из следующих способов:

• В главном меню в разделе История реагирований.
• На вкладке История в деталях алерта или инцидента.

После того как вы перейдете по ссылке в столбце Статус действия, откроется окно с выбранной вкладкой Результат. Если действие по реагированию выполнено успешно, отобразится сообщение Успешно и кнопка Просмотреть актив. Вы можете нажать на эту кнопку, чтобы просмотреть статус правила запрета на устройстве.

Иначе отобразится сообщение об ошибке с информацией о причине.

Если вы хотите просмотреть идентификатор запуска и JSON с результатом действия реагирования, перейдите на вкладку Отладка данных.

Если вы еще не установили приложение Kaspersky Endpoint Security со встроенным агентом на вашем устройстве и столкнулись с ошибкой при выполнении действий по реагированию, вам нужно убедиться, что имя устройства в Open Single Management Platform такое же, как и в Kaspersky Anti Targeted Attack Platform.

В начало