В поле Аргументы скрипта укажите параметры или значения полей событий, которые необходимо передать скрипту. Чтобы указывать неэкранированные символы в параметрах, используйте одинарные кавычки. Аргументы представлены для каждого скрипта в раскрывающихся блоках.onDemandScan.py – проверка важных областей
Скрипт onDemandScan автоматически создает и запускает задачу Проверка важных областей при обнаружении определенных событий KUMA. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
Ограничения
Если у вас развернуто решение Kaspersky Sandbox или KATA Sandbox, после обновления плагина управления до версии 12.9 вам нужно переустановить фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования. Это нужно для обновления прав пользователей на новую функциональность поддержки EDR-действий по реагированию на угрозы для KUMA.
Аргументы
Для настройки задачи Проверка важных областей вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--recursive true|false – режим рекурсивной проверки. Введите этот аргумент вручную.
--path – список файлов и папок для выборочной проверки через пробел.
Вы также можете выбрать предустановленный области проверки. В Kaspersky Endpoint Security предустановлены следующие объекты для формирования области проверки:
- Моя почта.
Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST).
- Системная память.
- Объекты автозапуска.
Память, занятая процессами, и исполняемые файлы приложения, которые запускаются при старте операционной системы.
- Загрузочные секторы.
Загрузочные секторы жестких и съемных дисков.
- Системное резервное хранилище.
Содержимое папки System Volume Information.
- Все внешние устройства.
- Все жесткие диски.
- Все сетевые диски.
Для этого вам нужно в скрипте onDemandScan для параметра "enabled" соответствующей области проверки установить значение True или False:
defaultPreset = [
{"enabled": False, "path": "%personal%", "recursive": True,
"type": ScanObjectType.Folder.value},
{"enabled": False,
"path": "", "recursive": True, "type": ScanObjectType.Email.value},
{"enabled": True,
"path": "", "recursive": True, "type": ScanObjectType.SystemMemory.value},
{"enabled": True,
"path": "", "recursive": True, "type": ScanObjectType.StartupObjectsAndRunningProcesses.value},
{"enabled": True,
"path": "", "recursive": True, "type": ScanObjectType.DiskBootSectors.value},
{"enabled": False,
"path": "", "recursive": True, "type": ScanObjectType.SystemBackupStorage.value},
{"enabled": False,
"path": "", "recursive": True, "type": ScanObjectType.AllRemovableDrives.value},
{"enabled": False,
"path": "", "recursive": True, "type": ScanObjectType.AllFixedDrives.value},
{"enabled": False,
"path": "", "recursive": True, "type": ScanObjectType.AllNetworkDrives.value}
Пример
python3 onDemandScan.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --recurive false --path 'C:\Program Files (x86)\Example Folder'
Скрипт onDemandScan автоматически создает и запускает задачу Проверка важных областей при обнаружении определенных событий KUMA. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
Ограничения
Если у вас развернуто решение Kaspersky Sandbox или KATA Sandbox, после обновления плагина управления до версии 12.9 вам нужно переустановить фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования. Это нужно для обновления прав пользователей на новую функциональность поддержки EDR-действий по реагированию на угрозы для KUMA.
Аргументы
Для настройки задачи Проверка важных областей вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--recursive true|false – режим рекурсивной проверки. Введите этот аргумент вручную.
--path – список файлов и папок для выборочной проверки через пробел.
Вы также можете выбрать предустановленный области проверки. В Kaspersky Endpoint Security предустановлены следующие объекты для формирования области проверки:
- Моя почта.
Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST).
- Системная память.
- Объекты автозапуска.
Память, занятая процессами, и исполняемые файлы приложения, которые запускаются при старте операционной системы.
- Загрузочные секторы.
Загрузочные секторы жестких и съемных дисков.
- Системное резервное хранилище.
Содержимое папки System Volume Information.
- Все внешние устройства.
- Все жесткие диски.
- Все сетевые диски.
Для этого вам нужно в скрипте onDemandScan для параметра "enabled" соответствующей области проверки установить значение True или False:
defaultPreset = [
{"enabled": False, "path": "%personal%", "recursive": True,
"type": ScanObjectType.Folder.value},
{"enabled": False,
"path": "", "recursive": True, "type": ScanObjectType.Email.value},
{"enabled": True,
"path": "", "recursive": True, "type": ScanObjectType.SystemMemory.value},
{"enabled": True,
"path": "", "recursive": True, "type": ScanObjectType.StartupObjectsAndRunningProcesses.value},
{"enabled": True,
"path": "", "recursive": True, "type": ScanObjectType.DiskBootSectors.value},
{"enabled": False,
"path": "", "recursive": True, "type": ScanObjectType.SystemBackupStorage.value},
{"enabled": False,
"path": "", "recursive": True, "type": ScanObjectType.AllRemovableDrives.value},
{"enabled": False,
"path": "", "recursive": True, "type": ScanObjectType.AllFixedDrives.value},
{"enabled": False,
"path": "", "recursive": True, "type": ScanObjectType.AllNetworkDrives.value}
Пример
python3 onDemandScan.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --recurive false --path 'C:\Program Files (x86)\Example Folder'
ioCScan.py – поиск индикаторов компрометации
Скрипт iocScan автоматически создает и запускает задачу Поиск IOC при обнаружении определенных событий KUMA. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.
Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.
Ограничения
По умолчанию Kaspersky Endpoint Security выполняет поиск IOC только в важных областях компьютера, таких как папки Загрузки, Рабочий стол, папка с временными файлами операционной системы и другие.
По умолчанию выбраны следующие журналы событий: журнал событий приложений, журнал системных событий и журнал событий безопасности.
Аргументы
Для настройки задачи Поиск IOC вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--iocZip – путь к ZIP-архиву с IOC-файлом в кодировке base64, по которым требуется выполнять поиск. Обязательный аргумент. Введите этот аргумент вручную.
--isolateHost true|false – изоляция компьютера от сети при обнаружении индикатора компрометации для предотвращения распространения угрозы. Обязательный аргумент. Введите этот аргумент вручную.
--quarantineObject true|false – удаление вредоносного объекта при обнаружении индикатора компрометации. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин. Обязательный аргумент. Введите этот аргумент вручную.
--scanCriticalAreas true|false – запуск задачи Проверка важных областей при обнаружении индикатора компрометации. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы. Обязательный аргумент. Введите этот аргумент вручную.
Пример
python3 iocScan.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --iocZip './ioc.zip' --isolateHost true --scanCriticalAreas true --quarantineObject true
quarantineFile.py – помещение файла на карантин
Скрипт quarantineFile автоматически создает и запускает задачу Помещение файла на карантин при получении в KUMA определенных событий. Карантин – это специальное локальное хранилище на компьютере. Пользователь может поместить на карантин файлы, которые считает опасными для компьютера. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства.
Ограничения
Задача Помещение файла на карантин имеет следующие ограничения:
- Размер файла не должен превышать 100 МБ.
- Критически важные системные объекты (англ. System Critical Object, SCO) поместить на карантин невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
Аргументы
Для настройки задачи Помещение файла на карантин вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--path – путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.
--md5hash – MD5-хеш файла. Скрипт получает этот аргумент из события.
--sha256hash – SHA256-хеш файла. Скрипт получает этот аргумент из события.
Примеры
python3 quarantineFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\File.txt'
python3 quarantineFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\' --sha256hash 123456789101234567890123456789012
deleteFile.py – удаление файла
Скрипт deleteFile автоматически создает и запускает задачу Удаление файла при обнаружении определенных событий KUMA. Например, вы можете удаленно удалить файл при реагировании на угрозы.
Ограничения
Критически важные системные объекты (англ. System Critical Object, SCO) удалить невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
Аргументы
Для настройки задачи Удаление файла вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--searchInSubfolders true|false – поиск файла в подпапках. Обязательный аргумент. Введите этот аргумент вручную.
--path – путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.
--md5hash – MD5-хеш файла. Скрипт получает этот аргумент из события.
--sha256hash – SHA256-хеш файла. Скрипт получает этот аргумент из события.
Примеры
python3 deleteFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\File.txt' --searchInFolders false
python3 deleteFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path '1' --searchInFolders false --sha256hash 123456789101234567890123456789012
getFile.py – получение файла
Скрипт getFile автоматически создает и запускает задачу Получение файла при получении в KUMA определенных событий. Например, вы можете настроить получение файла журнала событий, который создает стороннее приложение. В результате выполнения задачи файл будет сохранен в карантине. Карантин – это специальное локальное хранилище на компьютере. Вы можете загрузить этот файл на компьютер из карантина в Web Console (Операции → Хранилища → Карантин). При этом на компьютере пользователя файл остается в исходной папке.
Ограничение
Размер файла не должен превышать 100 МБ.
Аргументы
Для настройки задачи Получение файла вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--path – путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.
--md5hash – MD5-хеш файла. Скрипт получает этот аргумент из события.
--sha256hash – SHA256-хеш файла. Скрипт получает этот аргумент из события.
Примеры
python3 getFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\File.txt'
python3 getFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\' --md5hash 123456789101234567890123456789012
isolateHost.py – сетевая изоляция компьютера
Скрипт isolateHost автоматически изолирует компьютер из сети при обнаружении определенных событий KUMA.
После включения Сетевой изоляции приложение разрывает все активные и блокирует все новые сетевые соединения TCP/IP на компьютере, кроме следующих соединений:
- соединения, указанные в исключениях из Сетевой изоляции;
- соединения, инициированные службами Kaspersky Endpoint Security;
- соединения, инициированные Агентом администрирования Kaspersky Security Center;
- соединения с SVM и Сервером интеграции, если приложение используется в режиме Легкого агента.
Аргументы
Для настройки Сетевой изоляции вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--action – режим Сетевой изоляции. Обязательный аргумент. Введите этот аргумент вручную. Возможные значения:
1 – изолировать компьютер от сети;0 – выключить Сетевую изоляцию.
Пример
python3 isolateHost.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --action 1
preventExecution.py – запрет запуска объектов
Скрипт preventExecution автоматически запрещает запуск объектов при обнаружении определенных событий KUMA. Запрет запуска объектов позволяет контролировать запуск исполняемых файлов и скриптов, а также открытие файлов офисного формата. Таким образом, вы можете, например, запретить запуск приложений, использование которых считаете небезопасным. В результате распространение угрозы может быть остановлено. Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов. Правило запрета запуска – это набор критериев, которые приложение учитывает при реагировании на запуск объекта, например, при блокировании запуска объекта. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.
Kaspersky Endpoint Security контролирует создание новых правил запрета запуска и игнорирует повторяющиеся правила. То есть, если запуск объекта уже запрещен, то приложение не будет создавать новое правило. При этом все параметры правила должны совпадать (путь до файла и хеш файла), и правило должно быть включено.
Ограничения
Запрет запуска объектов имеет следующие ограничения:
- Правила запрета не распространяются на файлы, расположенные на компакт-дисках или в ISO-образах. Приложение не будет блокировать исполнение или открытие этих файлов.
- Невозможно запретить запуск критически важных системных объектов (англ. System Critical Object, SCO). К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
- Не рекомендуется создавать более 5000 правил запрета запуска, поскольку это может привести к нестабильности системы.
Аргументы
Для настройки Запрета запуска объектов вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--hash – MD5-хеш файла. Обязательный аргумент.Скрипт получает этот аргумент из события.
--path – полный путь к файлу или путь к файлу, если вы введете хеш файла. Обязательный аргумент. Скрипт получает этот аргумент из события.
Пример
python3 preventExecution.py --targetHost '422db51e-9383-46d4-b75d-f4d1d20fff2c' --path 'C:\test5\run10.exe' --hash '8806b7f358884a049675b42c5f75ba10'
startProcess.py – запуск процесса
Скрипт startProcess автоматически создает и запускает задачу Запуск процесса при обнаружении определенных событий KUMA. Например, вы можете удаленно запускать утилиту, которая создает файл с конфигурацией компьютера. Далее с помощью задачи Получение файла, вы можете получить созданный файл в Kaspersky Security Center Web Console.
Аргументы
Для настройки задачи Запуск процесса вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--executablePath – путь к файлу. Обязательный аргумент. Вы можете передать этот аргумент из события или ввести значение вручную.
--arguments – дополнительные аргументы для запуска процесса. Введите эти аргументы вручную.
--workingFolder – путь к рабочей папке процесса. Введите этот аргумент вручную.
Пример
python3 startProcess.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --executablePath 'c://a/a.exe'
terminateProcess.py – завершение процесса
Скрипт terminateProcess автоматически создает и запускает задачу Завершение процесса при обнаружении определенных событий KUMA. Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи Запуск процесса.
Если вы хотите запретить запуск файла, вы можете настроить компонент Запрет запуска объектов. Вы можете запретить запуск исполняемых файлов, скриптов, файлов офисного формата.
Ограничения
Завершить процессы критически важных системных объектов (англ. System Critical Object, SCO) невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
Аргументы
Для настройки задачи Завершение процесса вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--caseSensitive true|false – включение режима учета регистра при поиске файла. Обязательный аргумент. Введите этот аргумент вручную.
--path – путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.
--md5hash – MD5-хеш файла. Скрипт получает этот аргумент из события.
--sha256hash – SHA256-хеш файла. Скрипт получает этот аргумент из события.
Примеры
python3 terminateProcess.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\file.exe' --caseSensitive true
python3 terminateProcess.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\' --caseSensitive false --md5hash 123456789101234567890123456789012