Kaspersky Managed Detection and Response
- Guida di Kaspersky Managed Detection and Response
- Novità
- Informazioni su Kaspersky Managed Detection and Response
- Requisiti hardware e software
- Architettura di Kaspersky Managed Detection and Response
- Interfacce di Kaspersky Managed Detection and Response
- Sezione MDR in Kaspersky Security Center
- Configurazione del plug-in MDR in Kaspersky Security Center
- Configurazione del plug-in MDR
- Impostazione dei diritti di accesso in Kaspersky Security Center
- Visualizzazione e modifica delle impostazioni MDR in Kaspersky Security Center
- Utilizzo delle funzionalità del plug-in MDR in un Administration Server virtuale
- Utilizzo delle funzionalità MDR in Kaspersky Security Center tramite un server proxy
- Modifica dei certificati per l'utilizzo delle funzioni MDR in Kaspersky Security Center con un server proxy o un software anti-virus
- Nascondere e mostrare le funzionalità MDR in Kaspersky Security Center
- Configurazione del plug-in MDR in Kaspersky Security Center
- Web Console MDR
- Modifica della lingua dell'interfaccia in Kaspersky Security Center
- Modifica della lingua per le notifiche e i rapporti in Kaspersky Security Center
- Modifica della lingua dell'interfaccia in Web Console MDR
- Sezione MDR in Kaspersky Security Center
- Attivazione di Kaspersky Managed Detection and Response
- Disattivazione di Kaspersky Managed Detection and Response
- Distribuzione di Kaspersky Managed Detection and Response
- Informazioni sul file di configurazione MDR
- Gestione delle licenze
- Confronto dei livelli delle licenze commerciali
- Informazioni sulla licenza
- Informazioni sul codice di attivazione
- Fornire un nuovo codice di attivazione
- Informazioni sul Contratto di MDR
- Informazioni sull'Accordo di elaborazione dei dati
- Revoca del consenso alle condizioni per l'utilizzo della soluzione MDR
- Gestione delle licenze in Kaspersky Security Center
- Trasmissione dei dati
- Informazioni su Kaspersky Security Network
- Monitoraggio dei dashboard in Web Console MDR
- Ricezione di informazioni di riepilogo
- Ricezione di notifiche
- Gestione degli utenti
- Gestione delle risorse
- Gestione degli incidenti
- Informazioni sugli incidenti
- Visualizzazione e ricerca degli incidenti in Web Console MDR
- Filtro degli incidenti in Web Console MDR
- Creazione di incidenti personalizzati in Web Console MDR
- Visualizzazione di informazioni dettagliate sugli incidenti in Web Console MDR
- Tipi di reazioni
- Elaborazione delle reazioni agli incidenti in Web Console MDR
- Accettazione automatica delle reazioni in Web Console MDR
- Accettazione automatica delle risposte in Kaspersky Security Center
- Chiusura degli incidenti in Web Console MDR
- Utilizzo delle funzionalità di Kaspersky Endpoint Detection and Response Optimum
- Multi-tenancy
- Gestione dei tenant in Kaspersky Security Center
- Visualizzazione dei tenant in Kaspersky Security Center
- Visualizzazione delle impostazioni dei tenant in Kaspersky Security Center
- Modifica delle impostazioni dei tenant in Kaspersky Security Center
- Aggiunta di nuovi tenant in Kaspersky Security Center
- Eliminazione di tenant in Kaspersky Security Center
- Spostamento delle risorse tra tenant
- Gestione dei tenant in Web Console MDR
- Gestione dei tenant in Kaspersky Security Center
- Gestione della soluzione tramite l'API REST
- Scenario: esecuzione dell'autorizzazione basata su token
- Creazione di una connessione API in Kaspersky Security Center
- Creazione di una connessione API in Web Console MDR
- Modifica di una connessione API in Kaspersky Security Center
- Modifica di una connessione API in Web Console MDR
- Creazione di un token di accesso in Kaspersky Security Center
- Creazione di un token di accesso in Web Console MDR
- Utilizzo dell'API REST
- Revoca di un token di aggiornamento in Kaspersky Security Center
- Eliminazione di una connessione API in Kaspersky Security Center
- Eliminazione di una connessione API in Web Console MDR
- Problemi noti
- Contattare il Servizio di assistenza tecnica
- Fonti di informazioni sulla soluzione
- Glossario
- Informazioni sul codice di terze parti
- Note relative ai marchi registrati
Tipi di reazioni
Espandi tutto | Comprimi tutto
Gli analisti SOC di MDR esaminano gli incidenti e creano reazioni che è possibile accettare o rifiutare. Si tratta della modalità predefinita di gestione degli incidenti in Kaspersky Managed Detection and Response.
Tuttavia, è possibile creare manualmente le reazioni utilizzando le funzionalità di Kaspersky Endpoint Detection e Response Optimum.
Questo articolo descrive solo i tipi di reazioni degli analisti SOC.
Ogni reazione può avere una serie di parametri presenti nella scheda Reazioni di un incidente.
I tipi di reazioni disponibili sono:
- Ottieni file
Copia di un file dall'infrastruttura a Kaspersky SOC. Se si accetta questa reazione, il file specificato verrà copiato in Kaspersky SOC.
Questo tipo di reazione può ottenere file contenenti dati personali e/o riservati.
I parametri possibili sono:
- Percorso file infetto
Il percorso assoluto del file. Ad esempio,
C:\\file.exe. - Dimensione massima del file
La dimensione massima del file, in MB.
Se il file infetto supera la dimensione massima del file specificata, il tentativo di accettare la reazione avrà esito negativo e la reazione non verrà eseguita, ma verrà visualizzata nella scheda Cronologia di un incidente.
- Percorso file infetto
- Isola
Isolamento della risorsa specificata dalla rete.
Nel caso in cui sia necessario disabilitare urgentemente l'isolamento della rete, contattare il Servizio di assistenza tecnica o scrivere una richiesta nella scheda Comunicazione dell'incidente.
I parametri possibili sono:
- Password per disabilitare l'isolamento
La password per disabilitare l'isolamento. Una volta ricevuta la richiesta di disabilitazione dell'isolamento della rete, il Servizio di assistenza tecnica invierà la procedura con i dettagli sull'utilizzo della password.
- ID attività
L'identificatore univoco dell'attività utilizzato in abbinamento alla Password per disabilitare l'isolamento per la disabilitazione manuale dell'isolamento di rete.
- Dettagli password
È possibile verificare la validità della Password generando da essa una chiave derivata e confrontando il valore risultante con il valore nel parametro Chiave derivata.
- Versione
La versione numerica delle regole di creazione della password. Una versione 1 significa che vengono applicati i seguenti parametri di PBKDF2 per la creazione di una chiave derivata:
- Algoritmo di hash HMACSHA256
- 10.000 iterazioni
- Lunghezza chiave di 32 byte
- Salt
Salt in formato HEX per ottenere una chiave derivata tramite PBKDF2.
- Chiave derivata
La chiave derivata in formato HEX.
- Versione
- Durata dell'isolamento della risorsa
Il periodo di tempo in secondi dopo il quale l'isolamento verrà disabilitato automaticamente. Se non è specificato alcun periodo di tempo personalizzato, viene applicato il periodo di tempo predefinito di sette giorni. Il valore massimo è 2.678.400 secondi.
- Regole di esclusione
Matrice di regole con porte, protocolli, indirizzi IP e processi personalizzati a cui non viene applicato l'isolamento.
- Direzione
La direzione del traffico. I valori possibili sono: In entrata, In uscita, Entrambi.
- Protocollo
Il numero di protocollo secondo la specifica IANA.
I valori possibili sono:
- 1 (ICMP)
- 6 (TCP)
- 17 (UDP)
- 58 (IPv6-ICMP)
- Intervallo porte remote
L'intervallo di porte remote specificato nei campi Da e A nidificati.
- Indirizzo IPv4 remoto
L'indirizzo IPv4 remoto o la subnet mask.
- Indirizzo IPv6 remoto
L'indirizzo IPv6 remoto o la subnet mask.
- Intervallo porte locali
L'intervallo di porte locali specificato nei campi Da e A nidificati.
- Indirizzo IPv4 locale
L'indirizzo IPv4 locale o la subnet mask.
- Indirizzo IPv6 locale
L'indirizzo IPv6 locale o la subnet mask.
- Processo
Il percorso dell'immagine del processo specificata nel campo Immagine → Percorso nidificato.
- Direzione
- Password per disabilitare l'isolamento
- Disabilita isolamento
Disabilitare l'isolamento di rete della risorsa specificata.
- Elimina chiave del Registro di sistema
Eliminare una chiave del Registro di sistema o di un ramo del Registro di sistema nella risorsa specificata.
I parametri possibili sono:
- Chiave
Il percorso assoluto della chiave, che inizia con
HKEY_LOCAL_MACHINEoHKEY_USERS. Ad esempioHKEY_LOCAL_MACHINE\\SYSTEM\\WebClient.Se la chiave è un collegamento simbolico, solo questa chiave verrà eliminata mentre la chiave di destinazione del collegamento rimarrà intatta.
- Valore
Il valore della chiave.
Se questo parametro non è specificato, la chiave verrà eliminata in modo ricorsivo. Durante l'eliminazione ricorsiva, ogni sottochiave che è un collegamento simbolico verrà eliminata mentre la relativa chiave di destinazione rimarrà intatta.
Se il valore della chiave è una stringa vuota, il valore predefinito verrà eliminato.
- Chiave
- Dump della memoria
Creazione di un dump della memoria e invio a Kaspersky SOC.
I parametri possibili sono:
- Tipo di dump
Un dump della memoria può essere di due tipi:
- Dump della memoria completo
Un dump dell'intera memoria di una risorsa.
- Dump del processo
Un dump di un processo specificato.
- Dump della memoria completo
- Dimensione massima del file
La dimensione massima del file per il dump in formato ZIP, in MB. Il valore predefinito è 100 MB.
- Processo
L'ID del processo e i dettagli dell'immagine.
- Immagine
- Percorso
Il percorso assoluto del file. Ad esempio,
%systemroot%\\system32\\svchost.exe. - SHA-256
Il checksum MD5 in formato HEX.
- MD5
Il checksum MD5 in formato HEX.
- Percorso
- ID univoco
L'identificatore univoco del processo.
- Immagine
- Limite conteggio processi
Il numero massimo di processi che possono essere contenuti nel file di dump.
- Tipo di dump
- Termina processo
Terminare un processo sulla risorsa specificata con Kaspersky Endpoint Security for Windows. Il processo da terminare può essere specificato tramite il nome o l'identificatore di processo (PID).
- Esegui script
Eseguire uno script sulla risorsa specificata con Kaspersky Endpoint Security for Windows.
Affinché questa risposta funzioni, il componente PowerShell deve essere installato nella risorsa. È possibile visualizzare lo script da eseguire e la relativa descrizione in MDR Web Console.
- Sposta il file in Quarantena
Inserisce un file potenzialmente pericoloso in un archivio locale speciale. I file in questo archivio sono criptati e non minacciano la sicurezza del dispositivo. La richiesta di conferma specifica la risorsa, il percorso del file e l'hash del file (MD5 o SHA256).
- Ripristina il file dalla Quarantena
Ripristina il file precedentemente spostato in Quarantena nella posizione originale. Se nella posizione originale è presente un file con lo stesso nome, il ripristino non viene eseguito.
|
Vedere anche: Utilizzo delle funzionalità di Kaspersky Endpoint Detection and Response Optimum |