Рекомендации по обработке событий

В окне события в рамке между деревом событий и текстовой информацией для пользователей с ролью Старший сотрудник службы безопасности отображаются рекомендации по обработке этого события.

Вы можете выполнить следующие рекомендации:

• Изолировать <имя хоста> – изолировать хост с программой Kaspersky Endpoint Agent, на котором обнаружено событие, от сети. Применяется для всех типов событий.
• Создать правило запрета – запретить запуск файла, обнаруженного в событии. Применяется для всех типов событий кроме Журнал событий ОС и Изменено имя хоста.
• Создать задачу – создать задачу. Применяется для всех типов событий кроме Журнал событий ОС и Изменено имя хоста.

Кроме того, вы можете выполнить действия по обработке события по ссылкам с именем файла, путем к файлу, MD5-хешем, SHA256-хешем файла и именем хоста при просмотре текстовой информации о событии в нижней части окна.

По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Добавить в фильтр.
• Исключить из фильтра.
• Найти на TIP

  Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

  .
• Найти события.
• Найти обнаружения.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
  • Выполнить программу.
• Скопировать значение в буфер.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности рекомендации по обработке событий не отображаются.

Выполнение рекомендации по изоляции хоста

Чтобы выполнить рекомендацию по изоляции хоста от сети:

1. В рамке с рекомендациями выберите Изолировать <имя хоста>.

   Откроется окно параметров изоляции хоста из события, с которым вы работаете.

2. В поле Отключить изоляцию через введите количество часов от 1 до 9999, в течение которых будет действовать сетевая изоляция хоста.
3. В блоке параметров Исключения для правила изоляции хоста в списке Направление трафика выберите направление сетевого трафика, которое не должно быть заблокировано:
   • Входящее/Исходящее.
   • Входящее.
   • Исходящее.
4. В поле IP введите IP-адрес, сетевой трафик которого не должен быть заблокирован.

   Вы можете использовать прокси-сервер для соединения Kaspersky Endpoint Agent для Windows с Kaspersky Anti Targeted Attack Platform. При добавлении этого прокси-сервера в исключения сетевые ресурсы, к которым открыт доступ через прокси-сервер, также добавляются в исключения. Если в исключения добавлены сетевые ресурсы, соединение с которыми происходит через прокси-сервер, но при этом исключение для самого прокси-сервера не настроено, исключение не будет работать.

5. Если вы выбрали Входящее или Исходящее, в поле Порты введите порты подключения.
6. Если вы хотите добавить более одного исключения, нажмите на кнопку Добавить и повторите действия по заполнению полей Направление трафика, IP и Порты.
7. Нажмите на кнопку Сохранить.

Информация об изоляции хоста отобразится в разделе Endpoint Agents веб-интерфейса.

Вы также можете создать правило сетевой изоляции по ссылке Изолировать <имя хоста> в информации об обнаружении и в разделе Endpoint Agents веб-интерфейса.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция изоляции хоста от сети недоступна.

Выполнение рекомендации по запрету запуска файла

Чтобы выполнить рекомендацию по запрету запуска файла:

1. В рамке с рекомендациями выберите Создать правило запрета.

   Откроется окно создания правила запрета с MD5- или SHA256-хешем файла из события, с которым вы работаете.

2. Задайте значения следующих параметров:
   1. Состояние – состояние правила запрета:
      • Если вы хотите включить правило запрета, переведите переключатель в положение Вкл.
      • Если вы хотите отключить правило запрета, переведите переключатель в положение Откл.
   2. Имя – имя правила запрета.
   3. Если вы хотите, чтобы программа выводила уведомление о срабатывании правила запрета пользователю компьютера, на который распространяется запрет, установите флажок Показывать пользователю уведомление о блокировке запуска файла.
   4. Если вы хотите изменить область применения правила запрета, настройте параметр Запрет для:
      • Если вы хотите применить правило запрета на всех хостах всех серверов, выберите вариант Всех хостов.
      • Если вы хотите применить правило запрета на выбранных серверах, выберите вариант Выбранных серверов и справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите применить правило запрета.

        Этот вариант доступен только при включенном

        режиме распределенного решения

        

        Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

        и
        мультитенантности

        

        Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

        .

      • Если вы хотите применить правило запрета на выбранных хостах, выберите вариант Выбранных хостов и перечислите эти хосты в поле Хосты.
3. Нажмите на кнопку Добавить.

Запрет на запуск файла будет создан.

Информация о созданном запрете отобразится в разделе Политики веб-интерфейса.

Если вы установили флажок Показывать пользователю уведомление о блокировке запуска файла, при попытке запуска запрещенного файла пользователю будет показано уведомление о том, что сработало правило запрета запуска этого файла.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция запрета запуска файла недоступна.

Выполнение рекомендации по созданию задачи

Чтобы выполнить рекомендацию по созданию задачи:

1. В рамке с рекомендациями по ссылке Создать задачу раскройте список типов задач.
2. Выберите один из типов задач:
   • Завершить процесс.
   • Собрать форензику.
   • Запустить YARA-проверку.
   • Управление службами.
   • Получить дамп памяти процесса.
   • Получить метафайлы NTFS.
   • Выполнить программу.
   • Получить файл.
   • Удалить файл.
   • Поместить файл на карантин.
   • Восстановить файл из карантина.

   Откроется окно создания задачи с предзаполненными данными (например, именем хоста, путем к файлу, MD5- или SHA256-хешем файла) из события, с которым вы работаете.

3. Если вы хотите изменить предзаполненные данные из события, внесите изменения в соответствующие поля.
4. Если вы хотите добавить комментарий к задаче, введите его в поле Описание.
5. Если вы создаете задачу Завершить процесс, Удалить файл, Запустить YARA-проверку или Управление службами и хотите изменить область применения задачи, настройте параметр Задача для:
   • Если вы хотите выполнить задачу на всех хостах всех серверов, выберите вариант Всех хостов.
   • Если вы хотите выполнить задачу на выбранных серверах, выберите вариант Выбранных серверов и справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите выполнить задачу.

     Этот вариант доступен только при включенном режиме распределенного решения и мультитенантности.

   • Если вы хотите выполнить задачу на выбранных хостах, выберите вариант Выбранных хостов и перечислите эти хосты в поле Хосты.
6. Нажмите на кнопку Добавить.

Задача будет создана.

Информация о созданной задаче отобразится в разделе Задачи веб-интерфейса.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция создания задачи недоступна.