Kaspersky Anti Targeted Attack Platform

Рекомендации по обработке обнаружений

В составе информации об обнаружениях, выполненных технологиями AM (Anti-Malware Engine), SB (Sandbox), YARA, IOC и IDS (intrusion Detection System) в правой части окна отображаются рекомендации по обработке этих обнаружений.

Чтобы просмотреть информацию об обнаружении, выполните следующие действия:

  1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

    Откроется таблица обнаружений.

  2. Левой клавишей мыши нажмите на строку с тем обнаружением, информацию о котором вы хотите просмотреть.

Откроется окно с информацией об обнаружении.

В этом разделе

Рекомендации по обработке AM-обнаружений

Рекомендации по обработке TAA-обнаружений

Рекомендации по обработке SB-обнаружений

Рекомендации по обработке IOC-обнаружений

Рекомендации по обработке YARA-обнаружений

Рекомендации по обработке IDS-обнаружений

В начало
[Topic 196721]

Рекомендации по обработке AM-обнаружений

В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений или событий, имеющих общие признаки с обнаружением, над которым вы работаете.

Вы можете выполнить следующие рекомендации:

  • В разделе Оценка раскройте список Найти похожие обнаружения.

    Отобразится список признаков, по которым вы можете найти похожие обнаружения, и количество похожих обнаружений по каждому признаку.

    Выберите один из следующих признаков:

    • По MD5. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ MD5-хешу. MD5-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
    • По SHA256. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ SHA256-хешу. SHA256-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
    • По имени хоста. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Имя хоста из обнаружения, над которым вы работаете, выделено желтым цветом.
    • По адресу отправителя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Адрес отправителя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
    • По адресу получателя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес назначения. Адрес получателя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
    • По URL. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ URL-адресу из обнаружения, над которым вы работаете.
  • В разделе Оценка выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска выбран тип события Результат обработки обнаружения и настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.

    Действие доступно только если вы используете

    и добавили лицензионный ключ KEDR.

  • В разделе Расследование выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.

    Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.

См. также

Рекомендации по обработке обнаружений

Рекомендации по обработке TAA-обнаружений

Рекомендации по обработке SB-обнаружений

Рекомендации по обработке IOC-обнаружений

Рекомендации по обработке YARA-обнаружений

Рекомендации по обработке IDS-обнаружений

В начало
[Topic 247616]

Рекомендации по обработке TAA-обнаружений

В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений или событий, имеющих общие признаки с обнаружением, над которым вы работаете.

Вы можете выполнить следующие рекомендации:

  • В разделе Оценка раскройте список Найти похожие обнаружения.

    Отобразится список признаков, по которым вы можете найти похожие обнаружения, и количество похожих обнаружений по каждому признаку.

    Выберите один из следующих признаков:

    • По имени правила (TAA-обнаружения). По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцам Обнаружено и Технологии - имени правила TAA (IOA), в соответствии с которым было выполнено обнаружение, и названию технологии (TAA) Targeted Attack Analyzer.
    • По имени правила (SB-обнаружения). По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцам Обнаружено и Технологии - имени правила TAA (IOA), в соответствии с которым было выполнено обнаружение, и названию технологии (SB) Sandbox.
  • В разделе Расследование выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.

    Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.

См. также

Рекомендации по обработке обнаружений

Рекомендации по обработке AM-обнаружений

Рекомендации по обработке SB-обнаружений

Рекомендации по обработке IOC-обнаружений

Рекомендации по обработке YARA-обнаружений

Рекомендации по обработке IDS-обнаружений

В начало
[Topic 226319]

Рекомендации по обработке SB-обнаружений

В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений или событий, имеющих общие признаки с обнаружением, над которым вы работаете.

Вы можете выполнить следующие рекомендации:

  • В разделе Оценка раскройте список Найти похожие обнаружения.

    Отобразится список признаков, по которым вы можете найти похожие обнаружения, и количество похожих обнаружений по каждому признаку.

    Выберите один из следующих признаков:

    • По MD5. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ MD5-хешу. MD5-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
    • По SHA256. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ SHA256-хешу. SHA256-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
    • По имени хоста. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Имя хоста из обнаружения, над которым вы работаете, выделено желтым цветом.
    • По адресу отправителя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Адрес отправителя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
    • По адресу получателя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес назначения. Адрес получателя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
    • По URL. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ URL-адресу из обнаружения, над которым вы работаете.
    • По URL из Sandbox. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ URL-адресу из обнаружения, над которым вы работаете, и всем URL-адресам, связь с которыми нашел компонент Sandbox в процессе обработки обнаружения.
  • В разделе Оценка выберите Найти похожие EPP-события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска выбран тип события Результат обработки обнаружения и настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.

    Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.

  • В разделе Расследование выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.

    Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.

См. также

Рекомендации по обработке обнаружений

Рекомендации по обработке AM-обнаружений

Рекомендации по обработке TAA-обнаружений

Рекомендации по обработке IOC-обнаружений

Рекомендации по обработке YARA-обнаружений

Рекомендации по обработке IDS-обнаружений

В начало
[Topic 247618]

Рекомендации по обработке IOC-обнаружений

В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений, имеющих общие признаки с обнаружением, над которым вы работаете.

Вы можете выполнить следующие рекомендации:

  • В разделе Оценка выберите Найти похожие обнаружения по имени хоста. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Имя хоста из обнаружения, над которым вы работаете, выделено желтым цветом.
  • В разделе Оценка выберите Найти похожие обнаружения по IOC. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Обнаружено - имени IOC-файла из обнаружения, над которым вы работаете.
  • В разделе Сдерживание выберите Изолировать <имя хоста>. Откроется окно создания правила сетевой изоляции.

Чтобы создать правило сетевой изоляции хоста, настройте следующие параметры:

  1. В поле Отключить изоляцию через введите количество часов от 1 до 9999, в течение которых будет действовать сетевая изоляция хоста.
  2. В блоке параметров Исключения для правила изоляции хоста в списке Направление трафика выберите направление сетевого трафика, которое не должно быть заблокировано:
    • Входящее/Исходящее.
    • Входящее.
    • Исходящее.
  3. В поле IP введите IP-адрес, сетевой трафик которого не должен быть заблокирован.

    Если в роли компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Agent, вы можете использовать прокси-сервер для соединения Kaspersky Endpoint Agent для Windows с Kaspersky Anti Targeted Attack Platform. При добавлении этого прокси-сервера в исключения сетевые ресурсы, к которым открыт доступ через прокси-сервер, также добавляются в исключения. Если в исключения добавлены сетевые ресурсы, соединение с которыми происходит через прокси-сервер, но при этом исключение для самого прокси-сервера не настроено, исключение не будет работать.

  4. Если вы выбрали Входящее или Исходящее, в поле Порты введите порты подключения.
  5. Если вы хотите добавить более одного исключения, нажмите на кнопку Добавить и повторите действия по заполнению полей Направление трафика, IP и Порты.
  6. Нажмите на кнопку Сохранить.

См. также

Рекомендации по обработке обнаружений

Рекомендации по обработке AM-обнаружений

Рекомендации по обработке TAA-обнаружений

Рекомендации по обработке SB-обнаружений

Рекомендации по обработке YARA-обнаружений

Рекомендации по обработке IDS-обнаружений

В начало
[Topic 247619]

Рекомендации по обработке YARA-обнаружений

В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений или событий, имеющих общие признаки с обнаружением, над которым вы работаете.

Вы можете выполнить следующие рекомендации:

  • В разделе Оценка раскройте список Найти похожие обнаружения.

    Отобразится список признаков, по которым вы можете найти похожие обнаружения, и количество похожих обнаружений по каждому признаку.

    Выберите один из следующих признаков:

    • По MD5. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ MD5-хешу. MD5-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
    • По SHA256. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ SHA256-хешу. SHA256-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
    • По имени хоста. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Имя хоста из обнаружения, над которым вы работаете, выделено желтым цветом.
    • По адресу отправителя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Адрес отправителя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
    • По адресу получателя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес назначения. Адрес получателя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
    • По URL. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ URL-адресу из обнаружения, над которым вы работаете.
  • В разделе Оценка выберите Найти похожие обнаружения по имени хоста. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска выбран тип события Результат обработки обнаружения и настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.

    Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.

  • В разделе Расследование выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.

    Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.

  • В разделе Сдерживание выберите Изолировать <имя хоста>. Откроется окно создания правила сетевой изоляции.

См. также

Рекомендации по обработке обнаружений

Рекомендации по обработке AM-обнаружений

Рекомендации по обработке TAA-обнаружений

Рекомендации по обработке SB-обнаружений

Рекомендации по обработке IOC-обнаружений

Рекомендации по обработке IDS-обнаружений

В начало
[Topic 247620]

Рекомендации по обработке IDS-обнаружений

В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений или событий, имеющих общие признаки с обнаружением, над которым вы работаете.

Вы можете выполнить следующие рекомендации:

  • В разделе Оценка выберите Найти похожие обнаружения по IP-адресу. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Имя хоста или IP-адрес из обнаружения, над которым вы работаете, выделено желтым цветом.
  • В разделе Оценка выберите Найти похожие обнаружения по URL. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ URL-адресу. URL-адрес из обнаружения, над которым вы работаете, выделен желтым цветом.
  • В разделе Оценка выберите Добавить в исключения.

    Откроется окно Добавить правило IDS в исключения. Если вы хотите добавить правило IDS, по которому выполнено обнаружение, в исключения, введите комментарий в поле Описание и нажмите на кнопку Добавить.

    Правило IDS будет добавлено в исключения и отобразится в списке исключений в разделе Параметры веб-интерфейса приложения, подразделе Исключения на закладке IDS.

  • В разделе Расследование выберите Найти похожие события по URL. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска по URI из обнаружения, над которым вы работаете.
  • В разделе Расследование выберите Найти похожие события по IP-адресу. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска по RemoteIP из обнаружения, над которым вы работаете.
  • В разделе Расследование по ссылке Скачать артефакт IDS вы можете скачать файл с данными об обнаружении.
  • В разделе Расследование по ссылке Скачать PCAP-файл вы можете скачать файл с данными перехваченного трафика.

См. также

Рекомендации по обработке обнаружений

Рекомендации по обработке AM-обнаружений

Рекомендации по обработке TAA-обнаружений

Рекомендации по обработке SB-обнаружений

Рекомендации по обработке IOC-обнаружений

Рекомендации по обработке YARA-обнаружений

В начало
[Topic 196790]