Работа с файлами, полученными в результате действий по реагированию
Для просмотра раздела Файлы у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Администратор SOC, Менеджер SOC, Аналитик 1-го уровня, Аналитик 2-го уровня, Младший аналитик, Подтверждающий, Аудитор.
В разделе Файлы отображаются файлы, которые вы загрузили вручную и получили в результате выполнения следующих действий по реагированию: Файл, Данные для расследования, Ключ реестра, NTFS-метафайлы, Процесс дампа памяти, Получить файл из карантина.
Если заканчивается дисковое пространство, выделенное вами при развертывании Open Single Management Platform, самые старые файлы удаляются из раздела Файлы и вы не получаете уведомления об этом. Файлы, для которых обнаружена угроза, не удаляются. Такие файлы связаны с алертами, созданными в результате обнаружения угроз.
Просмотр таблицы файлов
Чтобы открыть таблицу файлов, в главном меню выберите Операции → Хранилища → Файлы. В таблице отображаются файлы, хранящиеся в тенантах, к которым у вас есть права доступа.
В правой верхней части панели инструментов таблицы вы можете группировать, фильтровать и выполнять поиск данных следующим образом:
- Нажмите на значок параметров (
) и выберите столбцы для отображения в таблице. - Нажмите на значок фильтрации (
), укажите и примените критерий фильтрации в открывшемся меню. - Нажмите на значок поиска (
), в появившемся поле Поиск введите то, что вы хотите найти, и нажмите на клавишу Enter.
Таблица содержит следующие столбцы:
- Имя или полный путь. Если вы скачали файл вручную, в столбце отображается имя файла. Если файл получен в результате действия по реагированию, в столбце отображается полный путь к файлу.
- Размер. Размер файла.
- MD5. MD5-хеш файла, при наличии.
- SHA256. SHA256-хеш файла, при наличии.
- Когда загружен. Дата, когда файл был добавлен в раздел Файлы.
- Обновлено. Дата последнего обновления файла в разделе Файлы.
- Тенант. Тенант, которому принадлежит файл.
Если в тенант был создан на резервном узле, в поле Тенант отображается значок резервного узла (
).
- Источник. Имя пользователя, который добавил файл в раздел Файлы, или имя устройства, с которого файл был получен в результате действия по реагированию.
- Способ добавления. Способ добавления файла в раздел Файлы.
Если файл был загружен пользователем, в столбце отображается значение Загружен пользователем. Если файл был получен в результате действия по реагированию, отображается название действия по реагированию.
- Статус проверки. Результат последней проверки файла. В этом столбце могут отображаться следующие значения:
- Не проверено
- Проверяется
- Не обнаружено
- Обнаружено
- Ошибка
- Описание. Столбец содержит информацию (при наличии), которую вы указали в поле Описание при настройке параметров действия по реагированию или загрузке файла вручную.
Вы можете фильтровать данные в столбцах Способ добавления и Статус проверки, нажав на заголовок столбца и выбрав нужный способ или статус из раскрывающегося списка.
Выполнение действий в таблице файлов
В левой верхней части панели инструментов вы можете выполнить следующие действия:
- Нажать на кнопку Обновить, чтобы обновить данные в таблице.
- Загрузите файл со своего устройства в раздел Файлы, нажав на кнопку Загрузить.
В открывшейся панели справа вам нужно указать тенант, которому будет принадлежать файл, в поле Тенант перейти по ссылке Загрузка файлов, а затем выбрать файл на своем устройстве. При необходимости вы также можете добавить комментарий или описание в поле Описание и включить переключатель Проверка файлов после загрузки, если вы хотите проверить файлы на наличие угроз.
После того как вы нажмете на кнопку Загрузить, панель закроется, а загруженный файл отобразится в таблице.
- Сохраните файлы на свое устройство. Для этого установите флажок рядом с одним или несколькими файлами в таблице, а затем нажмите на кнопку Скачать.
- Проверять выбранные файлы на наличие угроз с помощью следующих технологий: YARA, Sandbox и Anti-Malware Engine. Для этого установите флажок рядом с одним или несколькими файлами в таблице, а затем нажмите на кнопку Проверить.
- Удалять файлы. Для этого установите флажок рядом с одним или несколькими файлами в таблице, а затем нажмите на кнопку Удалить.
- Перейдите к списку алертов, к которым относятся файлы. Для этого установите флажок рядом с одним или несколькими файлами в таблице, а затем нажмите на кнопку Найти алерты. Отображаются алерты, созданные в результате обнаружения угроз, и алерты, из деталей которых вы запускали действия по реагированию (если в результате реагирования файл был помещен в раздел Файлы).
Параметр Проверить недоступен и хеш файла не рассчитывается для файлов, полученных в результате следующих действий: Данные для расследования, Ключ реестра, NTFS-метафайлы, Процесс дампа памяти.
Просмотр сведений о файле
Вы можете открыть сведения о файле, перейдя по ссылке в столбце Имя или полный путь в таблице.
В открывшейся панели справа отображаются метаданные файла (например, имя или путь к файлу, размер, хеш), статус проверки и результат проверки:
- Если архив был отправлен на проверку, в сведениях о файле отображается информация для тех файлов в архиве, для которых была обнаружена угроза, а также хеши таких файлов и заключения по каждой из технологий Anti-Malware, Sandbox, YARA.
- Если файл не был проверен, отображается соответствующая информация.
- Если проверка недоступна для файла, в сведениях о файле отображаются только метаданные.
Если файл был загружен вручную и проверен на наличие угроз, в разделе сведений о файле также можно просмотреть отчет о проверке, перейдя по ссылке Скачать отчет в поле Статус проверки.
В окне сведений о файле можно выполнить следующие действия:
- Нажать на соответствующие кнопки в панели инструментов, чтобы выполнить следующие действия: проверить, скачать, удалить файлы, найти связанные алерты, изменить описание файла, перейти в историю реагирования.
Параметр Показать в истории реагирований недоступен для файлов, загруженных вручную. Для файла, полученного в результате действия реагирования, после выбора параметра Показать в истории реагирований, откроется раздел История реагирований, где таблица событий будет отфильтрована по файлу.
- Перейти по ссылке с MD5 или SHA256 и в раскрывающемся списке выбрать действие, которое вы хотите выполнить:
- Создать правило запрета – для файла, в котором обнаружена угроза. После того как вы выберете этот параметр, откроется панель Добавить правило запрета, в которой вы можете настроить параметры действия по реагированию Добавить правило запрета.
- Найти на Kaspersky TIP – для проверки хеша файла на Kaspersky Threat Intelligence Portal.
- Просмотреть отчет Sandbox. Параметр доступен для файлов, загруженных в раздел Файлы вручную и проверенных с помощью технологии Sandbox.
- Найти связанные алерты. Связанные алерты – это алерты, созданные в результате обнаружения угроз, и алерты, из деталей которых вы запускали действия по реагированию (если файл был помещен в раздел Файлы в результате выполнения действия по реагированию).
- Найти связанные события – для перехода в раздел Поиск угроз, где таблица событий отфильтрована по хешу вашего файла.
В начало