Содержание
Рекомендации по обработке событий
В окне события в рамке между деревом событий и текстовой информацией для пользователей с ролью Старший сотрудник службы безопасности отображаются рекомендации по обработке этого события.
Вы можете выполнить следующие рекомендации:
- Изолировать <имя хоста> – изолировать хост с программой Kaspersky Endpoint Agent, на котором обнаружено событие, от сети. Применяется для всех типов событий.
- Создать правило запрета – запретить запуск файла, обнаруженного в событии. Применяется для всех типов событий кроме Журнал событий ОС и Изменено имя хоста.
- Создать задачу – создать задачу. Применяется для всех типов событий кроме Журнал событий ОС и Изменено имя хоста.
Кроме того, вы можете выполнить действия по обработке события по ссылкам с именем файла, путем к файлу, MD5-хешем, SHA256-хешем файла и именем хоста при просмотре текстовой информации о событии в нижней части окна.
По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Выполнить задачи:
- Скопировать значение в буфер.
По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Добавить в фильтр.
- Исключить из фильтра.
- .
- Найти события.
- Найти обнаружения.
- Скопировать значение в буфер.
По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Найти на TIP.
- Найти на virustotal.com.
- Найти в Хранилище.
- Создать правило запрета.
- Скопировать значение в буфер.
По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Выполнить задачи:
- Скопировать значение в буфер.
Для пользователей с ролью Аудитор и Сотрудник службы безопасности рекомендации по обработке событий не отображаются.
Выполнение рекомендации по изоляции хоста
Чтобы выполнить рекомендацию по изоляции хоста от сети:
- В рамке с рекомендациями выберите Изолировать <имя хоста>.
Откроется окно параметров изоляции хоста из события, с которым вы работаете.
- В поле Отключить изоляцию через введите количество часов от 1 до 9999, в течение которых будет действовать сетевая изоляция хоста.
- В блоке параметров Исключения для правила изоляции хоста в списке Направление трафика выберите направление сетевого трафика, которое не должно быть заблокировано:
- Входящее/Исходящее.
- Входящее.
- Исходящее.
- В поле IP введите IP-адрес, сетевой трафик которого не должен быть заблокирован.
Вы можете использовать прокси-сервер для соединения Kaspersky Endpoint Agent для Windows с Kaspersky Anti Targeted Attack Platform. При добавлении этого прокси-сервера в исключения сетевые ресурсы, к которым открыт доступ через прокси-сервер, также добавляются в исключения. Если в исключения добавлены сетевые ресурсы, соединение с которыми происходит через прокси-сервер, но при этом исключение для самого прокси-сервера не настроено, исключение не будет работать.
- Если вы выбрали Входящее или Исходящее, в поле Порты введите порты подключения.
- Если вы хотите добавить более одного исключения, нажмите на кнопку Добавить и повторите действия по заполнению полей Направление трафика, IP и Порты.
- Нажмите на кнопку Сохранить.
Информация об изоляции хоста отобразится в разделе Endpoint Agents веб-интерфейса.
Вы также можете создать правило сетевой изоляции по ссылке Изолировать <имя хоста> в информации об обнаружении и в разделе Endpoint Agents веб-интерфейса.
Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция изоляции хоста от сети недоступна.
Выполнение рекомендации по запрету запуска файла
Чтобы выполнить рекомендацию по запрету запуска файла:
- В рамке с рекомендациями выберите Создать правило запрета.
Откроется окно создания правила запрета с MD5- или SHA256-хешем файла из события, с которым вы работаете.
- Задайте значения следующих параметров:
- Состояние – состояние правила запрета:
- Если вы хотите включить правило запрета, переведите переключатель в положение Вкл.
- Если вы хотите отключить правило запрета, переведите переключатель в положение Откл.
- Имя – имя правила запрета.
- Если вы хотите, чтобы программа выводила уведомление о срабатывании правила запрета пользователю компьютера, на который распространяется запрет, установите флажок Показывать пользователю уведомление о блокировке запуска файла.
- Если вы хотите изменить область применения правила запрета, настройте параметр Запрет для:
- Если вы хотите применить правило запрета на всех хостах всех серверов, выберите вариант Всех хостов.
- Если вы хотите применить правило запрета на выбранных серверах, выберите вариант Выбранных серверов и справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите применить правило запрета.
Этот вариант доступен только при включенном
и . - Если вы хотите применить правило запрета на выбранных хостах, выберите вариант Выбранных хостов и перечислите эти хосты в поле Хосты.
- Состояние – состояние правила запрета:
- Нажмите на кнопку Добавить.
Запрет на запуск файла будет создан.
Информация о созданном запрете отобразится в разделе Политики веб-интерфейса.
Если вы установили флажок Показывать пользователю уведомление о блокировке запуска файла, при попытке запуска запрещенного файла пользователю будет показано уведомление о том, что сработало правило запрета запуска этого файла.
Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция запрета запуска файла недоступна.
Выполнение рекомендации по созданию задачи
Чтобы выполнить рекомендацию по созданию задачи:
- В рамке с рекомендациями по ссылке Создать задачу раскройте список типов задач.
- Выберите один из типов задач:
- Завершить процесс.
- Собрать форензику.
- Запустить YARA-проверку.
- Управление службами.
- Получить дамп памяти процесса.
- Получить метафайлы NTFS.
- Выполнить программу.
- Получить файл.
- Удалить файл.
- Поместить файл на карантин.
- Восстановить файл из карантина.
Откроется окно создания задачи с предзаполненными данными (например, именем хоста, путем к файлу, MD5- или SHA256-хешем файла) из события, с которым вы работаете.
- Если вы хотите изменить предзаполненные данные из события, внесите изменения в соответствующие поля.
- Если вы хотите добавить комментарий к задаче, введите его в поле Описание.
- Если вы создаете задачу Завершить процесс, Удалить файл, Запустить YARA-проверку или Управление службами и хотите изменить область применения задачи, настройте параметр Задача для:
- Если вы хотите выполнить задачу на всех хостах всех серверов, выберите вариант Всех хостов.
- Если вы хотите выполнить задачу на выбранных серверах, выберите вариант Выбранных серверов и справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите выполнить задачу.
Этот вариант доступен только при включенном режиме распределенного решения и мультитенантности.
- Если вы хотите выполнить задачу на выбранных хостах, выберите вариант Выбранных хостов и перечислите эти хосты в поле Хосты.
- Нажмите на кнопку Добавить.
Задача будет создана.
Информация о созданной задаче отобразится в разделе Задачи веб-интерфейса.
Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция создания задачи недоступна.