Содержание
Рекомендации по обработке обнаружений
В составе информации об обнаружениях, выполненных технологиями AM (Anti-Malware Engine), SB (Sandbox), YARA, IOC и IDS (intrusion Detection System) в правой части окна отображаются рекомендации по обработке этих обнаружений.
Чтобы просмотреть информацию об обнаружении, выполните следующие действия:
- В окне веб-интерфейса приложения выберите раздел Обнаружения.
Откроется таблица обнаружений.
- Левой клавишей мыши нажмите на строку с тем обнаружением, информацию о котором вы хотите просмотреть.
Откроется окно с информацией об обнаружении.
Рекомендации по обработке AM-обнаружений
В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений или событий, имеющих общие признаки с обнаружением, над которым вы работаете.
Вы можете выполнить следующие рекомендации:
- В разделе Оценка раскройте список Найти похожие обнаружения.
Отобразится список признаков, по которым вы можете найти похожие обнаружения, и количество похожих обнаружений по каждому признаку.
Выберите один из следующих признаков:
- По MD5. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ MD5-хешу. MD5-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
- По SHA256. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ SHA256-хешу. SHA256-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
- По имени хоста. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Имя хоста из обнаружения, над которым вы работаете, выделено желтым цветом.
- По адресу отправителя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Адрес отправителя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
- По адресу получателя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес назначения. Адрес получателя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
- По URL. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ URL-адресу из обнаружения, над которым вы работаете.
- В разделе Оценка выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска выбран тип события Результат обработки обнаружения и настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.
Действие доступно только если вы используете
и добавили лицензионный ключ KEDR. - В разделе Расследование выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.
Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.
Рекомендации по обработке TAA-обнаружений
В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений или событий, имеющих общие признаки с обнаружением, над которым вы работаете.
Вы можете выполнить следующие рекомендации:
- В разделе Оценка раскройте список Найти похожие обнаружения.
Отобразится список признаков, по которым вы можете найти похожие обнаружения, и количество похожих обнаружений по каждому признаку.
Выберите один из следующих признаков:
- По имени правила (TAA-обнаружения). По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцам Обнаружено и Технологии - имени правила TAA (IOA), в соответствии с которым было выполнено обнаружение, и названию технологии (TAA) Targeted Attack Analyzer.
- По имени правила (SB-обнаружения). По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцам Обнаружено и Технологии - имени правила TAA (IOA), в соответствии с которым было выполнено обнаружение, и названию технологии (SB) Sandbox.
- В разделе Расследование выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.
Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.
Рекомендации по обработке SB-обнаружений
В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений или событий, имеющих общие признаки с обнаружением, над которым вы работаете.
Вы можете выполнить следующие рекомендации:
- В разделе Оценка раскройте список Найти похожие обнаружения.
Отобразится список признаков, по которым вы можете найти похожие обнаружения, и количество похожих обнаружений по каждому признаку.
Выберите один из следующих признаков:
- По MD5. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ MD5-хешу. MD5-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
- По SHA256. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ SHA256-хешу. SHA256-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
- По имени хоста. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Имя хоста из обнаружения, над которым вы работаете, выделено желтым цветом.
- По адресу отправителя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Адрес отправителя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
- По адресу получателя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес назначения. Адрес получателя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
- По URL. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ URL-адресу из обнаружения, над которым вы работаете.
- По URL из Sandbox. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ URL-адресу из обнаружения, над которым вы работаете, и всем URL-адресам, связь с которыми нашел компонент Sandbox в процессе обработки обнаружения.
- В разделе Оценка выберите Найти похожие EPP-события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска выбран тип события Результат обработки обнаружения и настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.
Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.
- В разделе Расследование выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.
Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.
Рекомендации по обработке IOC-обнаружений
В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений, имеющих общие признаки с обнаружением, над которым вы работаете.
Вы можете выполнить следующие рекомендации:
- В разделе Оценка выберите Найти похожие обнаружения по имени хоста. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Имя хоста из обнаружения, над которым вы работаете, выделено желтым цветом.
- В разделе Оценка выберите Найти похожие обнаружения по IOC. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Обнаружено - имени IOC-файла из обнаружения, над которым вы работаете.
- В разделе Сдерживание выберите Изолировать <имя хоста>. Откроется окно создания правила сетевой изоляции.
Чтобы создать правило сетевой изоляции хоста, настройте следующие параметры:
- В поле Отключить изоляцию через введите количество часов от 1 до 9999, в течение которых будет действовать сетевая изоляция хоста.
- В блоке параметров Исключения для правила изоляции хоста в списке Направление трафика выберите направление сетевого трафика, которое не должно быть заблокировано:
- Входящее/Исходящее.
- Входящее.
- Исходящее.
- В поле IP введите IP-адрес, сетевой трафик которого не должен быть заблокирован.
Если в роли компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Agent, вы можете использовать прокси-сервер для соединения Kaspersky Endpoint Agent для Windows с Kaspersky Anti Targeted Attack Platform. При добавлении этого прокси-сервера в исключения сетевые ресурсы, к которым открыт доступ через прокси-сервер, также добавляются в исключения. Если в исключения добавлены сетевые ресурсы, соединение с которыми происходит через прокси-сервер, но при этом исключение для самого прокси-сервера не настроено, исключение не будет работать.
- Если вы выбрали Входящее или Исходящее, в поле Порты введите порты подключения.
- Если вы хотите добавить более одного исключения, нажмите на кнопку Добавить и повторите действия по заполнению полей Направление трафика, IP и Порты.
- Нажмите на кнопку Сохранить.
Рекомендации по обработке YARA-обнаружений
В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений или событий, имеющих общие признаки с обнаружением, над которым вы работаете.
Вы можете выполнить следующие рекомендации:
- В разделе Оценка раскройте список Найти похожие обнаружения.
Отобразится список признаков, по которым вы можете найти похожие обнаружения, и количество похожих обнаружений по каждому признаку.
Выберите один из следующих признаков:
- По MD5. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ MD5-хешу. MD5-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
- По SHA256. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ SHA256-хешу. SHA256-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
- По имени хоста. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Имя хоста из обнаружения, над которым вы работаете, выделено желтым цветом.
- По адресу отправителя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Адрес отправителя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
- По адресу получателя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес назначения. Адрес получателя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
- По URL. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ URL-адресу из обнаружения, над которым вы работаете.
- В разделе Оценка выберите Найти похожие обнаружения по имени хоста. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска выбран тип события Результат обработки обнаружения и настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.
Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.
- В разделе Расследование выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.
Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.
- В разделе Сдерживание выберите Изолировать <имя хоста>. Откроется окно создания правила сетевой изоляции.
Рекомендации по обработке IDS-обнаружений
В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений или событий, имеющих общие признаки с обнаружением, над которым вы работаете.
Вы можете выполнить следующие рекомендации:
- В разделе Оценка выберите Найти похожие обнаружения по IP-адресу. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Имя хоста или IP-адрес из обнаружения, над которым вы работаете, выделено желтым цветом.
- В разделе Оценка выберите Найти похожие обнаружения по URL. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ URL-адресу. URL-адрес из обнаружения, над которым вы работаете, выделен желтым цветом.
- В разделе Оценка выберите Добавить в исключения.
Откроется окно Добавить правило IDS в исключения. Если вы хотите добавить правило IDS, по которому выполнено обнаружение, в исключения, введите комментарий в поле Описание и нажмите на кнопку Добавить.
Правило IDS будет добавлено в исключения и отобразится в списке исключений в разделе Параметры веб-интерфейса приложения, подразделе Исключения на закладке IDS.
- В разделе Расследование выберите Найти похожие события по URL. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска по URI из обнаружения, над которым вы работаете.
- В разделе Расследование выберите Найти похожие события по IP-адресу. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска по RemoteIP из обнаружения, над которым вы работаете.
- В разделе Расследование по ссылке Скачать артефакт IDS вы можете скачать файл с данными об обнаружении.
- В разделе Расследование по ссылке Скачать PCAP-файл вы можете скачать файл с данными перехваченного трафика.