Работа с файлами, полученными в результате действий по реагированию

Для просмотра раздела Файлы у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Администратор SOC, Менеджер SOC, Аналитик 1-го уровня, Аналитик 2-го уровня, Младший аналитик, Подтверждающий, Аудитор.

В разделе Файлы отображаются файлы, которые вы загрузили вручную и получили в результате выполнения следующих действий по реагированию: Файл, Данные для расследования, Ключ реестра, NTFS-метафайлы, Процесс дампа памяти, Получить файл из карантина.

Если заканчивается дисковое пространство, выделенное вами при развертывании Open Single Management Platform, самые старые файлы удаляются из раздела Файлы и вы не получаете уведомления об этом. Файлы, для которых обнаружена угроза, не удаляются. Такие файлы связаны с алертами, созданными в результате обнаружения угроз.

Просмотр таблицы файлов

Чтобы открыть таблицу файлов, в главном меню выберите Операции → Хранилища → Файлы. В таблице отображаются файлы, хранящиеся в тенантах, к которым у вас есть права доступа.

В правой верхней части панели инструментов таблицы вы можете группировать, фильтровать и выполнять поиск данных следующим образом:

• Нажмите на значок параметров () и выберите столбцы для отображения в таблице.
• Нажмите на значок фильтрации (), укажите и примените критерий фильтрации в открывшемся меню.
• Нажмите на значок поиска (), в появившемся поле Поиск введите то, что вы хотите найти, и нажмите на клавишу Enter.

Таблица содержит следующие столбцы:

• Имя или полный путь. Если вы скачали файл вручную, в столбце отображается имя файла. Если файл получен в результате действия по реагированию, в столбце отображается полный путь к файлу.
• Размер. Размер файла.
• MD5. MD5-хеш файла, при наличии.
• SHA256. SHA256-хеш файла, при наличии.
• Когда загружен. Дата, когда файл был добавлен в раздел Файлы.
• Обновлено. Дата последнего обновления файла в разделе Файлы.
• Тенант. Тенант, которому принадлежит файл.

  Если в режиме распределенного решения тенант был создан на резервном узле, в поле Тенант отображается значок резервного узла ().

  

  Двухуровневая иерархия серверов с установленными компонентами Central Node. Эта иерархия выделяет первичный управляющий сервер (Primary Central Node (PCN)) и вторичные серверы (Secondary Central Nodes (SCN)).

• Источник. Имя пользователя, который добавил файл в раздел Файлы, или имя устройства, с которого файл был получен в результате действия по реагированию.
• Способ добавления. Способ добавления файла в раздел Файлы.

  Если файл был загружен пользователем, в столбце отображается значение Загружен пользователем. Если файл был получен в результате действия по реагированию, отображается название действия по реагированию.

• Статус проверки. Результат последней проверки файла. В этом столбце могут отображаться следующие значения:
  • Не проверено
  • Проверяется
  • Не обнаружено
  • Обнаружено
  • Ошибка
• Описание. Столбец содержит информацию (при наличии), которую вы указали в поле Описание при настройке параметров действия по реагированию или загрузке файла вручную.

Вы можете фильтровать данные в столбцах Способ добавления и Статус проверки, нажав на заголовок столбца и выбрав нужный способ или статус из раскрывающегося списка.

Выполнение действий в таблице файлов

В левой верхней части панели инструментов вы можете выполнить следующие действия:

• Нажать на кнопку Обновить, чтобы обновить данные в таблице.
• Загрузите файл со своего устройства в раздел Файлы, нажав на кнопку Загрузить.

  В открывшейся панели справа вам нужно указать тенант, которому будет принадлежать файл, в поле Тенант перейти по ссылке Загрузка файлов, а затем выбрать файл на своем устройстве. При необходимости вы также можете добавить комментарий или описание в поле Описание и включить переключатель Проверка файлов после загрузки, если вы хотите проверить файлы на наличие угроз.

  После того как вы нажмете на кнопку Загрузить, панель закроется, а загруженный файл отобразится в таблице.

• Сохраните файлы на свое устройство. Для этого установите флажок рядом с одним или несколькими файлами в таблице, а затем нажмите на кнопку Скачать.
• Проверять выбранные файлы на наличие угроз с помощью следующих технологий: YARA, Sandbox и Anti-Malware Engine. Для этого установите флажок рядом с одним или несколькими файлами в таблице, а затем нажмите на кнопку Проверить.
• Удалять файлы. Для этого установите флажок рядом с одним или несколькими файлами в таблице, а затем нажмите на кнопку Удалить.

• Перейдите к списку алертов, к которым относятся файлы. Для этого установите флажок рядом с одним или несколькими файлами в таблице, а затем нажмите на кнопку Найти алерты. Отображаются алерты, созданные в результате обнаружения угроз, и алерты, из деталей которых вы запускали действия по реагированию (если в результате реагирования файл был помещен в раздел Файлы).

Параметр Проверить недоступен и хеш файла не рассчитывается для файлов, полученных в результате следующих действий: Данные для расследования, Ключ реестра, NTFS-метафайлы, Процесс дампа памяти.

Просмотр сведений о файле

Вы можете открыть сведения о файле, перейдя по ссылке в столбце Имя или полный путь в таблице.

В открывшейся панели справа отображаются метаданные файла (например, имя или путь к файлу, размер, хеш), статус проверки и результат проверки:

• Если архив был отправлен на проверку, в сведениях о файле отображается информация для тех файлов в архиве, для которых была обнаружена угроза, а также хеши таких файлов и заключения по каждой из технологий Anti-Malware, Sandbox, YARA.
• Если файл не был проверен, отображается соответствующая информация.
• Если проверка недоступна для файла, в сведениях о файле отображаются только метаданные.

Если файл был загружен вручную и проверен на наличие угроз, в разделе сведений о файле также можно просмотреть отчет о проверке, перейдя по ссылке Скачать отчет в поле Статус проверки.

В окне сведений о файле можно выполнить следующие действия:

• Нажать на соответствующие кнопки в панели инструментов, чтобы выполнить следующие действия: проверить, скачать, удалить файлы, найти связанные алерты, изменить описание файла, перейти в историю реагирования.

  Параметр Показать в истории реагирований недоступен для файлов, загруженных вручную. Для файла, полученного в результате действия реагирования, после выбора параметра Показать в истории реагирований, откроется раздел История реагирований, где таблица событий будет отфильтрована по файлу.

• Перейти по ссылке с MD5 или SHA256 и в раскрывающемся списке выбрать действие, которое вы хотите выполнить:
  • Создать правило запрета – для файла, в котором обнаружена угроза. После того как вы выберете этот параметр, откроется панель Добавить правило запрета, в которой вы можете настроить параметры действия по реагированию Добавить правило запрета.
  • Найти на Kaspersky TIP – для проверки хеша файла на Kaspersky Threat Intelligence Portal.
  • Просмотреть отчет Sandbox. Параметр доступен для файлов, загруженных в раздел Файлы вручную и проверенных с помощью технологии Sandbox.
  • Найти связанные алерты. Связанные алерты – это алерты, созданные в результате обнаружения угроз, и алерты, из деталей которых вы запускали действия по реагированию (если файл был помещен в раздел Файлы в результате выполнения действия по реагированию).
  • Найти связанные события – для перехода в раздел Поиск угроз, где таблица событий отфильтрована по хешу вашего файла.

В начало