Parametry incidentu

U součásti Reakce na hrozby EDR musíte zadat základní parametry požadavku, například ve formátu JSON:

task je typ úlohy (viz níže).
targetHost je ID počítače, na kterém musí být skript spuštěn. Povinný argument. Skript tento argument získá z události.
responseEventIncidentArea je název aplikace, která spustila skript (například KUMA). Tento parametr se přidá do názvu vytvořené úlohy.

Chcete-li nakonfigurovat součást Reakce na hrozby EDR, musíte určit nastavení úlohy ve formátu JSON v parametru "KLINCDT_BODY": json.dumps(data). V důsledku toho aplikace vytvoří úlohu [Response][KUMA] <task type> - <Date> <Time> - <ID> v konzole aplikace Kaspersky Security Center.

Načíst soubor – getFile

Nastavení úlohy Načíst soubor

Parametr	Typ	Popis
`md5hash`	`string`	Algoritmus MD5 hash souboru, který chcete načíst.
`sha256hash`	`string`	Algoritmus SHA256 hash souboru, který chcete načíst.
`path`	`string`	Cesta k souboru, který chcete načíst.

Příklad

type getFile = {

task: 'getFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

};

responseEventIncidentArea: string;

};

Odstranit soubor – deleteFile

Nastavení úlohy Odstranit soubor

Parametr	Typ	Popis
`md5hash`	`string`	Algoritmus MD5 hash souboru, který chcete odstranit.
`sha256hash`	`string`	Algoritmus SHA256 hash souboru, který chcete odstranit.
`path`	`string`	Cesta k souboru, který chcete odstranit.
`searchInSubfolders?`	`boolean`	V podsložkách vyhledejte soubor, který chcete odstranit.

Příklad

type deleteFile = {

task: 'deleteFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

// recursive search for a file (subfolder), optional

searchInSubfolders?: boolean;

};

responseEventIncidentArea: string;

};

Přesunout soubor do karantény – quarantineFile

Nastavení úlohy Přesunout soubor do karantény

Parametr	Typ	Popis
`md5hash`	`string`	Algoritmus MD5 hash souboru, který chcete umístit do karantény.
`sha256hash`	`string`	Algoritmus SHA256 hash souboru, který chcete umístit do karantény.
`path`	`string`	Cesta k souboru, který chcete umístit do karantény.

Příklad

type quarantineFile = {

task: 'quarantineFile';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

};

responseEventIncidentArea: string;

};

Kontrola IOC – iocScan

Nastavení úlohy Kontrola IOC

Parametr	Typ	Popis
`ioc`	`string`	Cesta k archivu ZIP se souborem IOC v kódování base64, který chcete použít ke kontrole. Povinný argument. Zadejte tento argument ručně.
`isolateHost`	`boolean`	Při zjištění indikátoru narušení izolujte počítač od sítě, abyste zabránili šíření hrozby.
`scanCriticalAreas`	`boolean`	Při zjištění indikátoru narušení spusťte úlohu Kontrola kritických oblastí.
`quarantineObject`	`boolean`	Při zjištění indikátoru narušení odstraňte škodlivý objekt. Před odstraněním objektu vytvoří aplikace Kaspersky Endpoint Security záložní kopii pro případ, že bude nutné objekt později obnovit. Kaspersky Endpoint Security přesune záložní kopii do karantény.

Příklad

type iocScan = {

task: 'iocScan';

targetHost: string;

params: {

// the path to the zip archive with ioc files in base64 encoding

ioc: string;

// isolation of the computer from the network

isolateHost: boolean;

// critical areas scan

scanCriticalAreas: boolean;

// quarantine the file

quarantineObject: boolean;

};

responseEventIncidentArea: string;

};

Spustit proces – startProcess

Nastavení úlohy Spustit proces

Parametr	Typ	Popis
`executablePath`	`string`	Cesta ke spustitelnému souboru, která se použije ke spuštění procesu.
`arguments?`	`string`	Další argumenty příkazového řádku pro spuštění procesu.
`workingFolder?`	`string`	Cesta k pracovní složce procesu.

Příklad

type startProcess = {

task: 'startProcess';

targetHost: string;

params: {

// the path to the file

executablePath: string;

// command line arguments, optional

arguments?: string;

// a working folder, optional

workingFolder?: string;

};

responseEventIncidentArea: string;

};

Ukončit proces – terminateProcess

Nastavení úlohy Ukončit proces

Parametr	Typ	Popis
`md5hash`	`string`	Algoritmus MD5 hash souboru, který chcete ukončit.
`sha256hash`	`string`	Algoritmus SHA256 hash souboru, který chcete ukončit.
`path`	`string`	Cesta k souboru, který chcete odstranit.
`caseSensitive`	`boolean`	Při hledání souboru se rozlišují malá a velká písmena.

Příklad

type terminateProcess = {

task: 'terminateProcess';

targetHost: string;

params: {

// an empty string or a valid md5 hash of the file

md5hash: string;

// an empty string or a valid sha256 hash of the file

sha256hash: string;

// the path to the file

path: string;

// case sensitive of the file name

caseSensitive: boolean;

};

responseEventIncidentArea: string;

};

Izolace počítače od sítě – isolateHost

Nastavení izolace počítače od sítě

Parametr	Typ	Popis
`action`	`string`	Algoritmus MD5 hash souboru, který chcete načíst.

Příklad

type isolateHost = {

task: 'isolateHost';

targetHost: string;

params: {

// 0 - turning off network isolation, 1 - turning on network isolation

action: number;

};

responseEventIncidentArea: string;

};

Prevence spouštění – preventExecution

Nastavení prevence spouštění

Parametr	Typ	Popis
`hash`	`string`	Algoritmus MD5 hash souboru, jehož spuštění chcete zabránit.
`path`	`string`	Cesta k souboru, jehož spuštění chcete zabránit.
`caseSensitive`	`boolean`	Při hledání souboru se rozlišují malá a velká písmena.

Příklad

type preventExecution = {

task: 'preventExecution';

targetHost: string;

params: {

// a valid md5 hash of the file

hash: string;

// the path to the file

path: string;

// case sensitive of the file name

caseSensitive: boolean;

};

responseEventIncidentArea: string;

};

Kontrola malwaru – onDemandScan

Nastavení úlohy Kontrola malwaru

Parametr	Typ	Popis

`path`	`string`	Seznam souborů a složek pro vlastní kontrolu oddělených mezerami.
`recursive`	`boolean`	Režim rekurzivní kontroly.
`type`	`number`	Rozsah kontroly.
ScanObjectType = Enum("ScanObjectType", [ ("SystemMemory", 14), ("StartupObjectsAndRunningProcesses", 15), ("DiskBootSectors", 16), ("SystemBackupStorage", 17), ("Email", 18), ("Folder", 22), ("AllRemovableDrives", 23), ("AllNetworkDrives", 24), ("AllFixedDrives", 25)])

Příklad

type onDemandScan = {

task: 'onDemandScan';

targetHost: string;

// please note, this is an array

// array of scan object

params: [{

// enabling the scan object

enabled: boolean;

// an empty string or the path to the folder to scan

path: string;

// recursive scan mode

recursive: boolean;

// ID scan object

type: number;

}];

responseEventIncidentArea: string;

};

Začátek stránky