Запуск приложения

Вы можете выполнить действие по реагированию одним из следующих способов:

• Из деталей алерта или инцидента.
• Из сведений об устройстве.
• Из графа расследования.
• Из таблицы активов.
• Из раздела История реагирований.
• Из сведений о событии.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы выполнить действия по реагированию, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Аналитик 1-го уровня, Аналитик 2-го уровня.

Выполнение действия по реагированию из деталей алерта или инцидента

Чтобы выполнить действие по реагированию из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне выберите вкладку Активы.
3. Установите флажок рядом с требуемым устройством.

   При необходимости вы можете выбрать несколько устройств.

4. В раскрывающемся списке Выбор действий по реагированию выберите Запустить, а затем в контекстном меню нажмите Запустить приложение.
5. В открывшейся панели справа выполните следующие действия:
   1. В поле Полный путь укажите полный путь к исполняемому файлу, который нужно запустить.
   2. При необходимости настройте следующие параметры:
      • Измените область действия по реагированию.

        По умолчанию в раскрывающемся списке Область действия выбран параметр Указанные активы и раскрывающийся список Активы содержит названия устройств, для которых вы ранее установили флажки. Это означает, что исполняемый файл должен быть запущен на этих устройствах.

        Вы можете изменить устройства для проверки или выбрать вариант Все активы в выпадающем списке Область действия для проверки всех устройств, принадлежащих тенанту алерта или инцидента (и его дочерним тенантам).

      Для выбора доступны только те активы, с которыми вы можете выполнить действие по реагированию.
      Устройства отображаются следующим образом: устройства, относящиеся к алерту или инциденту, помещаются в начало раскрывающего списка Активы, затем в алфавитном порядке отображаются устройства, принадлежащие тенанту алерта или инцидента, а также дочерним тенантам.

      • В поле Параметры командной строки укажите дополнительные параметры для запуска исполняемого файла, например: /all argument.
      • В поле Рабочая директория укажите рабочую директорию.
      • В поле Описание напишите описание или комментарий к действию по реагированию.
6. Нажмите на кнопку Запустить.

Панель будет закрыта. Окно закрыто. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действия по реагированию из свойств устройства

Чтобы выполнить действие по реагированию из сведений об устройстве:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотр свойств.
4. Выполните те же действия, что описаны в пунктах 4–6 процедуры Выполнение действия по реагированию из свойств устройства.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действия по реагированию из графа расследования

Этот параметр доступен, если граф расследования построен.

Чтобы выполнить действие по реагированию из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне нажмите на кнопку Посмотреть на графе.

   Откроется окно графа расследования.

3. Нажмите на имя устройства, чтобы открыть сведения об устройстве.
4. Выполните те же действия, что описаны в пунктах 4–6 процедуры Выполнение действий по реагированию из свойств устройства.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Если вы еще не установили приложение Kaspersky Endpoint Security со встроенным агентом на вашем устройстве и произошла ошибка при выполнении действий по реагированию, вам нужно убедиться, что имя устройства в Open Single Management Platform такое же, как и в Kaspersky Anti Targeted Attack Platform.

Выполнение действий по реагированию из таблицы активов

Чтобы выполнить действие по реагированию из таблицы активов:

1. В главном окне приложения перейдите в раздел Управление активами → Активы (Устройства).

   Откроется таблица активов.

2. Установите флажок рядом с устройством, для которого вы хотите выполнить действие по реагированию.

   Вы можете выбрать несколько устройств.

   Архивированные устройства выбрать невозможно.

3. В раскрывающемся списке Выбор действий по реагированию выберите Запустить приложение.
4. В открывшейся панели справа настройте параметры действий по реагированию, которые описаны пунктах 4–6 в процедуры Реагирование из деталей устройства.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действия по реагированию из раздела История реагирований

Чтобы выполнить действие по реагированию из раздела История реагирований:

1. В главном окне приложения перейдите в раздел Мониторинг → История реагирований.

   Откроется таблица с историей реагирования на все алерты и инциденты.

2. В раскрывающемся списке Действие по реагированию выберите Запустить приложение.
3. В открывшейся панели справа настройте параметры действий по реагированию, которые описаны пунктах 4–6 в процедуры Реагирование из деталей устройства.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действия по реагированию из информации о событии

Чтобы выполнить действие по реагированию из информации о событии

1. В главном окне приложения перейдите в раздел Мониторинг → Поиск угроз.

   Откроется таблица событий.

2. Нажмите на имя события, сведения которого вы хотите открыть.
3. В открывшемся окне со сведениями о событии нажмите на имя устройства, а затем в раскрывающемся списке выберите Запустить приложение.
4. В открывшейся панели справа настройте параметры действия по реагированию, как описано на пунктах 4–6 в разделе Выполнение действия по реагированию с помощью сведений об устройстве. процедура.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Просмотр результата действия по реагированию

Вы можете просмотреть результаты выполнения действий по реагированию одним из следующих способов:

• В главном меню в разделе История реагирований.
• На вкладке История в деталях алерта или инцидента.

После того как вы перейдете по ссылке в столбце Статус действия, откроется окно с выбранной вкладкой Результат. Если действие по реагированию выполнено успешно, отобразится сообщение Успешно. Иначе отобразится сообщение об ошибке с информацией о причине.

Если вы хотите просмотреть идентификатор запуска и JSON с результатом действия реагирования, перейдите на вкладку Отладка данных.

В начало