Управление службами

Вы можете удаленно запускать, останавливать, приостанавливать или возобновлять службы, а также удалять службы с устройстве.

Для выполнения действия по реагированию Управлять службами вам потребуется:

• Одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Аналитик 1-го уровня, Аналитик 2-го уровня.
• Установленный на ваших устройствах Kaspersky Endpoint Security со встроенным агентом.

Вы можете выполнить действия по реагированию одним из следующих способов:

• Из деталей алерта или инцидента.
• Из сведений об устройстве.
• Из телеметрии события.

  Вы можете открыть информацию о событии в деталях алерта или инцидента или в разделе Поиск угроз.

• Из графа расследования.

  Этот параметр доступен, если граф расследования построен.

• Из таблицы активов.
• Из раздела История реагирований.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Реагирование из деталей алерта или инцидента

Чтобы выполнить действие по реагированию из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне выберите вкладку Активы.

   Вы также можете выбрать вкладку Наблюдаемые объекты, установить флажок рядом действием по реагированию, которое вы хотите выполнить, и нажать Управлять службами.

3. Установите флажок рядом с устройством, для которого вы хотите выполнить действие по реагированию.

   Вы можете выбрать несколько устройств.

4. В раскрывающемся списке Выбор действий по реагированию выберите Управлять службами.
5. В открывшейся панели справа настройте следующие параметры в соответствующих полях:
   1. Устройства, на которых вы хотите управлять службой.

      По умолчанию в группе параметров Область действия выбран параметр Указанные активы и раскрывающийся список Активы содержит названия устройств, для которых вы установили флажки на шаге 3.Активы

      Вы можете изменить устройства или выбрать вариант Все активы в группе параметров Область действия для управления службами на всех устройствах, принадлежащих тенанту алерта или инцидента и его дочерним тенантам.

      Для выбора доступны только те активы, с которыми вы можете выполнить действие по реагированию.
      Устройства отображаются следующим образом: устройства, относящиеся к алерту или инциденту, помещаются в начало раскрывающего списка Активы, затем в алфавитном порядке отображаются устройства, принадлежащие тенанту алерта или инцидента, а также дочерним тенантам.

   2. Название службы.
   3. Действие, которое нужно выполнить со службой: Изменить тип запуска, Запустить, Остановить, Приостановить, Возобновить или Удалить.

      Если вы выбрали действие Изменить тип запуска, вам нужно выбрать значение в раскрывающемся списке Новый тип запуска.

      Настоятельно не рекомендуется останавливать, приостанавливать, удалять служб или изменять типа запуска служб, влияющих на работу на устройстве.
      Список служб, которыми не рекомендуется управлять:

      • AVP*
      • BFE
      • CertPropSvc
      • CoreMessagingRegistrar
      • CryptSvc
      • DcomLaunch
      • Dhcp
      • DispBrokerDesktopSvc
      • EventLog
      • EventSystem
      • LanmanServer
      • LanmanWorkstation
      • LSM
      • mpssvc
      • Netlogon
      • Netman
      • PlugPlay
      • PolicyAgent
      • Power
      • ProfSvc
      • RasMan
      • RpcEptMapper
      • RpcSs
      • SamSs
      • SCardSvr
      • SecurityHealthService
      • SessionEnv
      • Spooler
      • SstpSvc
      • TermService
      • UmRdpService
      • UserManager
      • UsoSvc
      • VaultSvc
      • W32Time
      • WebClient
      • Winmgmt
      • WlanSvc
      • wscsvc
   4. При необходимости настройте следующие параметры:
      • Укажите SHA256 или хеш MD5 файла.

        Если на шаге 2 вы выбрали вкладку Наблюдаемые объекты, хеш будет указан. При необходимости значение можно изменить.

      • Напишите описание или комментарий к действию по реагированию.
6. Нажмите на кнопку Запустить.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из сведений об устройстве

Чтобы выполнить действие по реагированию из сведений об устройстве:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.

   Откроется панель с информацией об устройстве.

4. Выполните действия, которые описаны в пунктах 4–6 процедуры Реагирование из деталей алерта или инцидента.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из телеметрии события

Чтобы выполнить реагирование из телеметрии события при его открытии из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне выберите вкладку Подробнее и выполните одно из следующих действий:
   • Нажмите на название нужного события и выберите устройство.
   • Нажмите на кнопку Поиск угроз, чтобы перейти в раздел Поиск угроз и выберите нужное устройство.
3. Выполните действия, которые описаны в пунктах 4–6 процедуры Реагирование из деталей алерта или инцидента.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Чтобы выполнить действие по реагированию из телеметрии события при его открытии из раздела Поиск угроз:

1. В главном окне приложения перейдите в раздел Мониторинг→ Поиск угроз.

   Откроется таблица событий.

2. Нажмите на имя события, сведения которого вы хотите открыть.
3. В открывшейся панели с информацией о событии нажмите на имя устройства, а затем в раскрывающемся списке выберите Управлять службами.
4. В открывшейся панели справа настройте параметры действий по реагированию, которые описаны в пункте 5 процедуры Реагирование из деталей алерта или инцидента и запустите действие по реагированию.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из графа расследования

Чтобы выполнить действие по реагированию из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. Нажмите на кнопку Посмотреть на графе.
3. В открывшемся графе расследования нажмите на имя устройства, а затем в раскрывающемся списке выберите Просмотреть свойства.
4. В открывшейся панели со сведениями об устройстве выполните действия, которые описаны в пунктах 4–6 процедуры Реагирование из деталей алерта или инцидента.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Действия по реагированию из таблицы активов

Чтобы выполнить действие по реагированию из таблицы активов:

1. В главном окне приложения перейдите в раздел Управление активами → Активы (Устройства).

   Откроется таблица активов.

2. Установите флажок рядом с устройством, для которого вы хотите выполнить действие по реагированию.

   Вы можете выбрать несколько устройств.

   Архивированные устройства выбрать невозможно.

3. В раскрывающемся списке Выбор действий по реагированию выберите Управлять службами.
4. В открывшейся панели справа настройте параметры действий по реагированию, которые описаны в пунктах 5–6 процедуры Реагирование из деталей алерта или инцидента.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из раздела История реагирований

Чтобы выполнить действие по реагированию из раздела История реагирований:

1. В главном окне приложения перейдите в раздел Мониторинг → История реагирований.

   Откроется таблица с историей реагирования на все алерты и инциденты.

2. В раскрывающемся списке Действие по реагированию выберите Управлять службами.
3. В открывшейся панели справа настройте параметры действий по реагированию, которые описаны в пункте 5 инструкции Реагирование из деталей алерта или инцидента и запустите действие по реагированию.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Просмотр результата действия по реагированию

Вы можете просмотреть результаты выполнения действия по реагированию одним из следующих способов:

• В главном меню в разделе История реагирований.
• На вкладке История в деталях алерта или инцидента.

После того как вы перейдете по ссылке в столбце Статус действия, откроется окно с выбранной вкладкой Результат. Если действие по реагированию выполнено успешно, отобразится сообщение Успешно. Иначе отобразится сообщение об ошибке с информацией о причине.

Если вы хотите просмотреть идентификатор запуска и JSON с результатом действия реагирования, перейдите на вкладку Отладка данных.

В начало