Управление параметрами обнаружения аномалий с помощью Sigma-правил
Чтобы управлять параметрами обнаружения аномалий с помощью Sigma-правил через интерфейс командной строки Kaspersky Endpoint Agent:
На устройстве запустите интерпретатор командной строки (например, Command Prompt cmd.exe) с правами учетной записи локального администратора.
С помощью команды cd перейдите в папку, где находится файл agent.exe.
Например, введите команду cd "C:\Program Files (x86)\Kaspersky Lab\Endpoint Agent\" и нажмите на клавишу ENTER.
Выполните следующую команду:
agent.exe --sigma=<enable|disable|add|remove|show> [--collection=<rat|deltav|siemens|custom>] [--name=<имя коллекции>] [--source=<полный путь к папке с YAML-файлами>]
Нажмите на клавишу ENTER.
Параметры команды для управления обнаружением аномалий с помощью Sigma-правил
Параметр
Описание
--sigma=<enable|disable|add|remove|show>
Обязательный параметр.
Указывает на одно из следующих действий:
enable – включить обнаружение аномалий с помощью Sigma-правил;
disable – выключить обнаружение аномалий с помощью Sigma-правил;
add – добавить коллекцию Sigma-правил;
remove – удалить коллекцию Sigma-правил;
show – отобразить текущие параметры обнаружения аномалий с помощью Sigma-правил.
--collection=<rat|deltav|custom>
Параметр обязателен, если указано --sigma=<add|remove>.
Указывает тип коллекции Sigma-правил, которую нужно добавить или удалить:
rat – коллекция правил для выявления средств администрирования;
deltaV – коллекция правил для анализа логов DeltaV;
custom – коллекция пользовательских правил.
--name=<имя коллекции>
Параметр обязателен, если указано --sigma=<add|remove> и --collection=<custom>.
Указывает имя коллекции пользовательских Sigma-правил.
--source=<полный путь к папке с YAML-файлами>
Параметр обязателен, если указано --sigma=<add> и --collection=<custom>.
Указывает полный путь к папке с YAML-файлами, в которых описаны пользовательские Sigma-правила.