Az EDR fenyegetésre adott válaszhoz meg kell adnia az alapvető kérés paramétereit, például JSON formátumban:
task a feladat típusa (lásd alább).targetHost annak a számítógépnek az azonosítója, amelyen a parancsfájlt futtatni kell. Szükséges argumentum. A szkript ezt az argumentumot az eseményből kapja.responseEventIncidentArea a szkriptet futtató alkalmazás neve (például KUMA). Ez a paraméter hozzáadódik a létrehozott feladat nevéhez.Az EDR fenyegetésre adott válasz konfigurálásához meg kell adnia a feladat beállításait JSON formátumban a "KLINCDT_BODY": json.dumps(data) paraméterben. Ennek eredményeként az alkalmazás létrehozza a [Response][KUMA] <task type> - <Date> <Time> - <ID> elemet a Kaspersky Security Center konzolon.
Fájl lekérése – getFile
A Fájl lekérése feladat beállításai
Paraméter |
Típus |
Leírás |
|---|---|---|
|
|
A lekérendő fájl MD5 kivonata. |
|
|
A lekérendő fájl SHA256 kivonata. |
|
|
A lekérendő fájl elérési útja. |
Példa
type getFile = {
task: 'getFile';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
};
responseEventIncidentArea: string;
};
Fájl törlése– deleteFile
A Fájl törlése feladat beállításai
Paraméter |
Típus |
Leírás |
|---|---|---|
|
|
A törlendő fájl MD5 kivonata. |
|
|
A törlendő fájl SHA256 kivonata. |
|
|
A törlendő fájl elérési útja. |
|
|
Keresse meg a törlendő fájlt az almappákban. |
Példa
type deleteFile = {
task: 'deleteFile';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
// recursive search for a file (subfolder), optional
searchInSubfolders?: boolean;
};
responseEventIncidentArea: string;
};
Fájl áthelyezése a Karanténba – quarantineFile
A Fájl áthelyezése a Karanténba feladat beállításai
Paraméter |
Típus |
Leírás |
|---|---|---|
|
|
A karanténba helyezendő fájl MD5 kivonata. |
|
|
A karanténba helyezendő fájl SHA256 kivonata. |
|
|
A karanténba helyezendő fájl elérési útja. |
Példa
type quarantineFile = {
task: 'quarantineFile';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
};
responseEventIncidentArea: string;
};
IOC vizsgálat – iocScan
Az IOC vizsgálati feladat beállításai
Paraméter |
Típus |
Leírás |
|---|---|---|
|
|
A vizsgálandó, base64 kódolású IOC fájlt tartalmazó ZIP-archívum elérési útja. Szükséges argumentum. Adja meg ezt az argumentumot manuálisan. |
|
|
A fenyegetés továbbterjedésének megelőzéséhez válassza le a számítógépet a hálózatról, ha fertőzöttségi mutatót észlel. |
|
|
Futtassa a Kritikus területek vizsgálata feladatot, ha fertőzöttségi mutatót észlel. |
|
|
Törölje a rosszindulatú objektumot, ha fertőzöttségi mutatót észlel. Az objektum törlése előtt a Kaspersky Endpoint Security biztonsági másolatot készít arra az esetre, ha az objektumot később vissza kell állítani. A Kaspersky Endpoint Security a biztonsági másolatot karanténba helyezi. |
Példa
type iocScan = {
task: 'iocScan';
targetHost: string;
params: {
// the path to the zip archive with ioc files in base64 encoding
ioc: string;
// isolation of the computer from the network
isolateHost: boolean;
// critical areas scan
scanCriticalAreas: boolean;
// quarantine the file
quarantineObject: boolean;
};
responseEventIncidentArea: string;
};
Folyamat indítása – startProcess
A Folyamat indítása feladat beállításai
Paraméter |
Típus |
Leírás |
|---|---|---|
|
|
A folyamat indításához használandó futtatható fájl elérési útja. |
|
|
További parancssori argumentumok a folyamat indításához. |
|
|
A folyamat munkamappájának elérési útja. |
Példa
type startProcess = {
task: 'startProcess';
targetHost: string;
params: {
// the path to the file
executablePath: string;
// command line arguments, optional
arguments?: string;
// a working folder, optional
workingFolder?: string;
};
responseEventIncidentArea: string;
};
Folyamat megszakítása – terminateProcess
A Folyamat megszakítása feladat beállításai
Paraméter |
Típus |
Leírás |
|---|---|---|
|
|
Annak a fájlnak az MD5 kivonata, amelynek folyamatát meg akarja szakítani. |
|
|
Annak a fájlnak az SHA256 kivonata, amelynek folyamatát meg akarja szakítani. |
|
|
A törlendő fájl elérési útja. |
|
|
A kis- és nagybetűk különbözőek fájl keresésekor. |
Példa
type terminateProcess = {
task: 'terminateProcess';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
// case sensitive of the file name
caseSensitive: boolean;
};
responseEventIncidentArea: string;
};
Számítógép hálózatelkülönítése – isolateHost
A számítógép hálózatelkülönítési beállításai
Paraméter |
Típus |
Leírás |
|---|---|---|
|
|
A lekérendő fájl MD5 kivonata. |
Példa
type isolateHost = {
task: 'isolateHost';
targetHost: string;
params: {
// 0 - turning off network isolation, 1 - turning on network isolation
action: number;
};
responseEventIncidentArea: string;
};
Végrehajtás megelőzése – preventExecution
Végrehajtás-megelőzési beállítások
Paraméter |
Típus |
Leírás |
|---|---|---|
|
|
Annak a fájlnak az MD5 kivonata, amelynek futtatását meg akarja akadályozni. |
|
|
Annak a fájlnak az elérési útja, amelynek futtatását meg akarja akadályozni. |
|
|
A kis- és nagybetűk különbözőek fájl keresésekor. |
Példa
type preventExecution = {
task: 'preventExecution';
targetHost: string;
params: {
// a valid md5 hash of the file
hash: string;
// the path to the file
path: string;
// case sensitive of the file name
caseSensitive: boolean;
};
responseEventIncidentArea: string;
};
Kártevő vizsgálata– onDemandScan
A Kártevő vizsgálata feladat beállításai
Paraméter |
Típus |
Leírás |
|---|---|---|
|
|
A fájlok és mappák szóközzel tagolt listája az Egyéni vizsgálathoz. |
|
|
Rekurzív vizsgálati mód. |
|
|
Vizsgálat hatóköre. |
ScanObjectType = Enum("ScanObjectType", [ ("SystemMemory", 14), ("StartupObjectsAndRunningProcesses", 15), ("DiskBootSectors", 16), ("SystemBackupStorage", 17), ("Email", 18), ("Folder", 22), ("AllRemovableDrives", 23), ("AllNetworkDrives", 24), ("AllFixedDrives", 25)]) |
||
Példa
type onDemandScan = {
task: 'onDemandScan';
targetHost: string;
// please note, this is an array
// array of scan object
params: [{
// enabling the scan object
enabled: boolean;
// an empty string or the path to the folder to scan
path: string;
// recursive scan mode
recursive: boolean;
// ID scan object
type: number;
}];
responseEventIncidentArea: string;
};
Oldal tetejére