Đối với EDR Threat Response, bạn cần chỉ định các tham số yêu cầu cơ bản, ví dụ như ở định dạng JSON:
task là loại tác vụ (xem bên dưới).targetHost là ID của máy tính mà tập lệnh phải được chạy. Đối số bắt buộc. Tập lệnh lấy tham số này từ sự kiện.responseEventIncidentArea là tên của ứng dụng đã chạy tập lệnh (ví dụ: KUMA). Tham số này được thêm vào tên của tác vụ đã tạo.Để cấu hình EDR Threat Response, bạn cần chỉ định thiết lập tác vụ ở định dạng JSON trong tham số "KLINCDT_BODY": json.dumps(data). Kết quả là, ứng dụng sẽ tạo ra [Response][KUMA] <task type> - <Date> <Time> - <ID> trong bảng điều khiển Kaspersky Security Center.
Lấy tập tin – getFile
Thiết lập tác vụ Lấy tập tin
Tham số |
Loại |
Mô tả |
|---|---|---|
|
|
Giá trị hash MD5 của tập tin bạn muốn lấy. |
|
|
Giá trị hash SHA256 của tập tin bạn muốn lấy. |
|
|
Đường dẫn đến tập tin bạn muốn lấy. |
Ví dụ
type getFile = {
task: 'getFile';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
};
responseEventIncidentArea: string;
};
Xóa tập tin – deleteFile
Thiết lập tác vụ Xóa tập tin
Tham số |
Loại |
Mô tả |
|---|---|---|
|
|
Giá trị hash MD5 của tập tin bạn muốn xóa. |
|
|
Giá trị hash SHA256 của tập tin bạn muốn xóa. |
|
|
Đường dẫn đến tập tin bạn muốn xóa. |
|
|
Tìm kiếm tập tin mà bạn muốn xóa trong các thư mục con. |
Ví dụ
type deleteFile = {
task: 'deleteFile';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
// recursive search for a file (subfolder), optional
searchInSubfolders?: boolean;
};
responseEventIncidentArea: string;
};
Di chuyển tập tin đến Khu vực cách ly – quarantineFile
Thiết lập tác vụ Di chuyển tập tin đến Khu vực cách ly
Tham số |
Loại |
Mô tả |
|---|---|---|
|
|
Giá trị hash MD5 của tập tin bạn muốn cách ly. |
|
|
Giá trị hash SHA256 của tập tin bạn muốn cách ly. |
|
|
Đường dẫn đến tập tin bạn muốn cách ly. |
Ví dụ
type quarantineFile = {
task: 'quarantineFile';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
};
responseEventIncidentArea: string;
};
Quét IOC – iocScan
Thiết lập tác vụ Quét IOC
Tham số |
Loại |
Mô tả |
|---|---|---|
|
|
Đường dẫn đến tập tin ZIP chứa tập tin IOC được mã hóa theo chuẩn base64 mà bạn muốn sử dụng để quét. Đối số bắt buộc. Nhập đối số này theo cách thủ công. |
|
|
Cô lập máy tính khỏi mạng khi phát hiện dấu hiệu xâm nhập để ngăn chặn mối đe dọa lây lan. |
|
|
Chạy tác vụ Quét khu vực quan trọng khi phát hiện dấu hiệu xâm nhập. |
|
|
Xóa đối tượng độc hại khi phát hiện dấu hiệu xâm nhập. Trước khi xóa đối tượng, Kaspersky Endpoint Security sẽ tạo một bản sao lưu trong trường hợp đối tượng cần được khôi phục sau này. Kaspersky Endpoint Security sẽ di chuyển bản sao lưu vào Khu vực cách ly. |
Ví dụ
type iocScan = {
task: 'iocScan';
targetHost: string;
params: {
// the path to the zip archive with ioc files in base64 encoding
ioc: string;
// isolation of the computer from the network
isolateHost: boolean;
// critical areas scan
scanCriticalAreas: boolean;
// quarantine the file
quarantineObject: boolean;
};
responseEventIncidentArea: string;
};
Bắt đầu tiến trình – startProcess
Thiết lập tác vụ Bắt đầu tiến trình
Tham số |
Loại |
Mô tả |
|---|---|---|
|
|
Đường dẫn đến tập tin thực thi được sử dụng để khởi chạy tiến trình. |
|
|
Đối số dòng lệnh bổ sung để khởi chạy tiến trình. |
|
|
Đường dẫn đến thư mục làm việc của tiến trình. |
Ví dụ
type startProcess = {
task: 'startProcess';
targetHost: string;
params: {
// the path to the file
executablePath: string;
// command line arguments, optional
arguments?: string;
// a working folder, optional
workingFolder?: string;
};
responseEventIncidentArea: string;
};
Chấm dứt tiến trình – terminateProcess
Thiết lập tác vụ Chấm dứt tiến trình
Tham số |
Loại |
Mô tả |
|---|---|---|
|
|
Giá trị hash MD5 của tập tin mà bạn muốn chấm dứt tiến trình. |
|
|
Giá trị hash SHA256 của tập tin mà bạn muốn chấm dứt tiến trình. |
|
|
Đường dẫn đến tập tin bạn muốn xóa. |
|
|
Phân biệt chữ hoa chữ thường khi tìm kiếm tập tin. |
Ví dụ
type terminateProcess = {
task: 'terminateProcess';
targetHost: string;
params: {
// an empty string or a valid md5 hash of the file
md5hash: string;
// an empty string or a valid sha256 hash of the file
sha256hash: string;
// the path to the file
path: string;
// case sensitive of the file name
caseSensitive: boolean;
};
responseEventIncidentArea: string;
};
Cách ly mạng máy tính – isolateHost
Thiết lập cách ly mạng máy tính
Tham số |
Loại |
Mô tả |
|---|---|---|
|
|
Giá trị hash MD5 của tập tin bạn muốn lấy. |
Ví dụ
type isolateHost = {
task: 'isolateHost';
targetHost: string;
params: {
// 0 - turning off network isolation, 1 - turning on network isolation
action: number;
};
responseEventIncidentArea: string;
};
Phòng chống thực thi – preventExecution
Thiết lập Phòng chống thực thi
Tham số |
Loại |
Mô tả |
|---|---|---|
|
|
Giá trị hash MD5 của tập tin mà bạn muốn ngăn không cho chạy. |
|
|
Đường dẫn đến tập tin mà bạn muốn ngăn không cho chạy. |
|
|
Phân biệt chữ hoa chữ thường khi tìm kiếm tập tin. |
Ví dụ
type preventExecution = {
task: 'preventExecution';
targetHost: string;
params: {
// a valid md5 hash of the file
hash: string;
// the path to the file
path: string;
// case sensitive of the file name
caseSensitive: boolean;
};
responseEventIncidentArea: string;
};
Quét phần mềm độc hại – onDemandScan
Thiết lập tác vụ Quét phần mềm độc hại
Tham số |
Loại |
Mô tả |
|---|---|---|
|
|
Danh sách các tập tin và thư mục được phân cách bằng dấu cách để Quét tùy chỉnh. |
|
|
Chế độ quét đệ quy. |
|
|
Phạm vi quét. |
ScanObjectType = Enum("ScanObjectType", [ ("SystemMemory", 14), ("StartupObjectsAndRunningProcesses", 15), ("DiskBootSectors", 16), ("SystemBackupStorage", 17), ("Email", 18), ("Folder", 22), ("AllRemovableDrives", 23), ("AllNetworkDrives", 24), ("AllFixedDrives", 25)]) |
||
Ví dụ
type onDemandScan = {
task: 'onDemandScan';
targetHost: string;
// please note, this is an array
// array of scan object
params: [{
// enabling the scan object
enabled: boolean;
// an empty string or the path to the folder to scan
path: string;
// recursive scan mode
recursive: boolean;
// ID scan object
type: number;
}];
responseEventIncidentArea: string;
};
Về đầu trang