Los analistas de SOC de MDR examinan los incidentes y crean respuestas que usted puede aceptar o rechazar. Esta es la forma predeterminada de manejar los incidentes en Kaspersky Managed Detection and Response.
Sin embargo, puede crear respuestas manualmente mediante las funciones de Kaspersky Endpoint Detection y Response Optimum.
Este artículo solo describe los tipos de respuestas de los analistas de SOC.
Cada respuesta puede tener un conjunto de parámetros que están presentes en la pestaña Respuestas de un incidente.
Los tipos de respuesta disponibles son:
Copiar un archivo de su infraestructura a Kaspersky SOC. Si acepta esta respuesta, el archivo especificado se copiará en Kaspersky SOC.
Tenga en cuenta que este tipo de respuesta puede obtener archivos que contengan datos personales o confidenciales.
Los posibles parámetros son:
La ruta absoluta del archivo. Por ejemplo, C:\\file.exe.
El tamaño máximo del archivo, en MB.
Si el archivo infectado excede el tamaño de archivo máximo especificado, el intento de aceptar la respuesta fallará y la respuesta no se realizará, pero aparecerá en la pestaña Historial de un incidente.
Aislar de la red el activo especificado.
Si surge la necesidad urgente de desactivar el aislamiento de red, comuníquese con el soporte técnico o escriba una solicitud en la pestaña Comunicación del incidente.
Los posibles parámetros son:
La contraseña para desactivar el aislamiento. Una vez que el soporte técnico reciba su solicitud para deshabilitar el aislamiento de red, le enviarán el procedimiento con detalles sobre el uso de la contraseña.
El identificador de tarea único que se usa junto con la Contraseña para desactivar el aislamiento para desactivar manualmente el aislamiento de la red.
Puede comprobar la validez de la contraseña generando una clave derivada a partir de ella y comparando el valor resultante con el valor del parámetro Clave derivada.
La versión numérica de las reglas de creación de contraseñas. Una versión de 1 significa que se aplican los siguientes parámetros de PBKDF2 para crear una clave derivada:
La sal en formato HEX para obtener una clave derivada a través de PBKDF2.
La clave derivada en formato HEX.
Tiempo de espera en segundos después del cual el aislamiento se desactiva automáticamente. Si no se especifica un tiempo de espera personalizado, se aplica el tiempo de espera predeterminado de siete días. El valor máximo es 2 678 400 segundos.
Matriz de reglas con puertos, protocolos, direcciones IP y procesos personalizados a los que no se aplica el aislamiento.
La dirección del tráfico. Los valores posibles son: Entrante, Saliente y Ambos.
El número de protocolo de acuerdo con la especificación de IANA.
Los posibles valores son:
El rango de puertos remotos especificado en los campos anidados Desde y Hasta.
La dirección IPv4 o máscara de subred remota.
La dirección IPv6 o máscara de subred remota.
El rango de puertos locales especificados en los campos anidados Desde y Hasta.
La dirección IPv4 local o máscara de subred.
La dirección IPv6 local o máscara de subred.
La ruta a la imagen de proceso especificada en el campo anidado Imagen → Ruta.
Desactivar el aislamiento de red del activo especificado.
Eliminar una clave de registro o una rama de registro en el activo especificado.
Los posibles parámetros son:
La ruta de la clave absoluta, que comienza con HKEY_LOCAL_MACHINE o HKEY_USERS. Por ejemplo, HKEY_LOCAL_MACHINE\\SYSTEM\\WebClient.
Si la clave es un enlace simbólico, solo esta clave se eliminará, mientras que la clave de destino del enlace permanecerá intacta.
El valor de la clave.
Si no se especifica este parámetro, la clave se eliminará de forma recursiva. Durante la eliminación recursiva, cada subclave que sea un enlace simbólico se eliminará, mientras que su clave de destino permanecerá intacta.
Si el valor de la clave es una cadena vacía, se eliminará el valor predeterminado.
Crear un volcado de memoria y enviarlo a Kaspersky SOC.
Los posibles parámetros son:
Un volcado de memoria puede ser de dos tipos:
Un volcado de toda la memoria de un activo.
Un volcado de un proceso específico.
El tamaño máximo de archivo para el volcado en formato ZIP, en MB. El valor predeterminado es 100 MB.
El id. del proceso y los detalles de la imagen.
La ruta absoluta del archivo. Por ejemplo, %systemroot%\\system32\\svchost.exe.
La suma de comprobación SHA256 en formato HEX.
La suma de comprobación MD5 en formato HEX.
El identificador de proceso único.
El número máximo de procesos que puede contener el archivo de volcado.
Finalizar un proceso en el activo especificado con Kaspersky Endpoint Security para Windows. Se puede especificar qué proceso finalizar por su nombre o identificador de proceso (PID).
Ejecutar un script en el activo especificado con Kaspersky Endpoint Security para Windows.
Para que esta respuesta funcione, el activo debe tener instalado el componente PowerShell. Puede ver el script que se ejecutará y su descripción en MDR Web Console.
Coloca un archivo potencialmente peligroso en un almacenamiento local especial. En este almacenamiento, los archivos se guardan cifrados y no representan una amenaza a la seguridad del dispositivo. En la solicitud de confirmación se especifica el activo, la ruta al archivo y el hash del archivo (MD5 o SHA256).
Restaura a su ubicación original un archivo previamente puesto en cuarentena. La restauración no se lleva a cabo si hay un archivo con el mismo nombre en la ubicación original.
|
Ver también: Uso de las funciones de Kaspersky Endpoint Detection and Response Optimum |