[Topic 221698]

Справка Kaspersky Endpoint Detection and Response Expert

Ключевые функции

• Поиск угроз
• Управление инцидентами
• Управление алертами
• Пользовательские правила

Аппаратные и программные требования

Начало работы

Обращение в Службу технической поддержки

[Topic 220114]

О решении Kaspersky Endpoint Detection and Response Expert

Kaspersky Endpoint Detection and Response Expert (далее также Kaspersky EDR Expert) – это облачное решение, предназначенное для защиты IT-инфраструктуры организации от сложных киберугроз.

Решение Kaspersky Endpoint Detection and Response, доступное для локального развертывания, входит в состав Kaspersky Anti-Targeted Attack Platform.

Решение сочетает автоматическое обнаружение угроз с возможностью реагирования на эти угрозы для противостояния сложным атакам, в том числе новым эксплойтам, программам-вымогателями, бесфайловым атакам, а также методам, использующим легальные системные инструменты.

Kaspersky Endpoint Detection and Response Expert отслеживает и анализирует развитие угроз и предоставляет сотрудникам службы безопасности или администраторам информацию о возможных атаках для своевременного принятия мер по реагированию вручную или автоматически выполняет заданные действия по реагированию. Решение предоставляет функциональные возможности для разработки собственных правил и поиска угроз.

Решение Kaspersky Endpoint Detection and Response Expert недоступно в США и для физических лиц США. Если лица, не являющиеся физическими лицами США, временно находятся в Соединенных Штатах, необходимо приостановить использование Kaspersky EDR Expert на их активах.

[Topic 220116]

Поддерживаемые приложения "Лаборатории Касперского"

Kaspersky Endpoint Detection and Response Expert поддерживается следующими версиями приложений "Лаборатории Касперского":

• Kaspersky Security Center Cloud Console
• Kaspersky Security Center Network Agent 13.2.2
• Kaspersky Endpoint Security для Windows 11.8 и выше

Информация о требованиях к оборудованию и программному обеспечению приведена в разделах Аппаратные и программные требования документации к следующим продуктам: Kaspersky Endpoint Security для Windows и Kaspersky Security Center Cloud Console.

Обратите внимание, что решения Kaspersky Managed Detection and Response (MDR) и Kaspersky Endpoint Detection and Response Expert использовать одновременно невозможно.

Вы не можете использовать функции Kaspersky Endpoint Detection and Response Expert в Kaspersky Security Center Cloud Console при работе с виртуальным Сервером администрирования. В этом случае функции Kaspersky Endpoint Detection and Response Expert скрыты в Kaspersky Security Center Cloud Console. Переключитесь на родительский Сервер администрирования (не виртуальный), чтобы использовать функции Kaspersky EDR Expert.

[Topic 220121]

Архитектура решения Kaspersky Endpoint Detection and Response Expert

В состав решения Kaspersky Endpoint Detection and Response Expert входят следующие компоненты:

• EPP-программы

  Программа, входящая в состав системы защиты конечных устройств (

  Endpoint Protection Platform

  Интегрированная система комплексной защиты конечных устройств (например, мобильных устройств, компьютеров или ноутбуков), включающая различные технологии безопасности. Примером решения Endpoint Protection Platform является Kaspersky Endpoint Security для бизнеса.

  Интегрированная система комплексной защиты конечных устройств (например, мобильных устройств, компьютеров или ноутбуков), включающая различные технологии безопасности. Примером решения Endpoint Protection Platform является Kaspersky Endpoint Security для бизнеса.

  или EPP). EPP-программы устанавливаются на конечные устройства внутри IT-инфраструктуры организации (например, мобильные устройства, компьютеры или ноутбуки). Примером EPP-программы является Kaspersky Endpoint Security для Windows в составе EPP-решения Kaspersky Endpoint Security для бизнеса.

  с поддержкой функциональности Kaspersky Endpoint Detection and Response Expert, которые устанавливаются на отдельные
  активы

  Устройство с установленной EPP-программой от "Лаборатории Касперского" (например, Kaspersky Endpoint Security для Windows).

  , входящие в IT-инфраструктуру организации. Эти программы осуществляют постоянное наблюдение за процессами, запущенными на защищаемых устройствах, открытыми сетевыми соединениями и изменяемыми файлами.
• Решение для централизованного управления сетевой безопасностью (Kaspersky Security Center Cloud Console).
• Агент администрирования Kaspersky Security Center, обеспечивающий взаимодействие между Сервером администрирования и приложениями "Лаборатории Касперского", установленными на конкретном сетевом узле (рабочей станции или сервере).
• Средства анализа угроз (Threat Intelligence):
  • Инфраструктура облачных служб Kaspersky Security Network (KSN), предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Использование данных Kaspersky Security Network обеспечивает более высокую скорость реакции приложений "Лаборатории Касперского" на угрозы, повышает эффективность работы некоторых компонентов защиты, а также снижает вероятность ложных срабатываний. Для работы Kaspersky Endpoint Detection and Response Expert используется решение Kaspersky Private Security Network (KPSN), отправляющее данные на региональные серверы, не передавая данные с активов в KSN.
  • Интеграция с платформой Kaspersky Threat Intelligence Portal, которая содержит и отображает информацию о репутации файлов и веб-адресов.
  • База угроз и уязвимостей Kaspersky Threats.

В начало

[Topic 220132]

Лицензирование Kaspersky Endpoint Detection and Response Expert

В этом разделе описаны основные аспекты лицензирования Kaspersky Endpoint Detection and Response Expert.

[Topic 73374]

О Лицензионном соглашении

Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать приложение.

Прежде чем начать использовать приложение, ознакомьтесь с Лицензионным соглашением.

Вы можете ознакомиться с условиями Лицензионного соглашения следующими способами:

• Во время установки Kaspersky Endpoint Detection and Response.
• Прочитав документ license.txt. Этот документ включен в комплект поставки приложения.

Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с Лицензионным соглашением при установке приложения. Если вы не согласны с условиями Лицензионного соглашения, отмените установку и не используйте приложение.

[Topic 226834]

О лицензии

Лицензия – это ограниченное по времени право на использование решения, предоставляемое на основании Условий использования.

Лицензия предоставляет право на получение следующих видов услуг:

• Использование решения в соответствии с Условиями использования.
• Получение технической поддержки.

Объем предоставляемых услуг и срок использования решения зависят от типа лицензии, по которой было активировано решение.

Предусмотрены следующие типы лицензий:

• Коммерческая – платная лицензия, предоставляемая при приобретении решения.

  По истечении срока действия коммерческой лицензии решение продолжает работать, но с ограниченной функциональностью (не предоставляется новая телеметрия). Чтобы продолжить использование Kaspersky Endpoint Detection and Response в режиме полной функциональности, необходимо продлить срок действия коммерческой лицензии.

  Рекомендуется продлить лицензию до истечения срока ее действия, чтобы обеспечить максимальную защиту от всех угроз безопасности.

• Подписка – платная лицензия, позволяющая использовать решение с ежемесячной оплатой, с автоматическим продлением до отмены или истечения срока действия.

  Существует два типа подписки:

  • Срочная подписка автоматически продлевается в конце каждого расчетного периода до заданной даты истечения срока.
  • Подписка с неограниченным сроком автоматически продлевается в конце каждого расчетного периода до отмены клиентом.

  Вы можете управлять подпиской на Портале управления лицензиями "Лаборатории Касперского".

  При отмене или по истечении срока действия подписки решение продолжает работать, но с ограниченной функциональностью (не предоставляется новая телеметрия). Чтобы продолжить использование Kaspersky Endpoint Detection and Response в режиме полной функциональности, необходимо продлить срок действия лицензии по подписке.

  Рекомендуется продлить лицензию до истечения срока ее действия, чтобы обеспечить максимальную защиту от всех угроз безопасности.

В начало

[Topic 73976]

О лицензионном сертификате

Лицензионный сертификат – это документ, который передается вам вместе с файлом ключа или кодом активации.

В Лицензионном сертификате содержится следующая информация о предоставляемой лицензии:

• лицензионный ключ или номер заказа;
• информация о пользователе, которому предоставляется лицензия;
• информация о приложении, которую можно активировать по предоставляемой лицензии;
• ограничение на количество единиц лицензирования (например, устройств, на которых можно использовать приложение по предоставляемой лицензии);
• дата начала срока действия лицензии;
• дата окончания срока действия лицензии или срок действия лицензии;
• тип лицензии.

[Topic 226836]

О коде активации

Код активации – это уникальная последовательность из двадцати латинских букв и цифр. Код активации требуется указать для добавления лицензионного ключа для активации Kaspersky Endpoint Detection and Response Expert. Код активации отправляется на адрес электронной почты, указанный при приобретении решения Kaspersky Endpoint Detection and Response.

Чтобы активировать решение с помощью кода активации, требуется доступ в интернет для подключения к серверам активации "Лаборатории Касперского".

Если вы потеряли код активации, обратитесь к партнеру "Лаборатории Касперского", у которого вы приобрели лицензию.

[Topic 69431]

О файле ключа

Файл ключа – это файл с расширением key, предоставленный "Лабораторией Касперского". Файл ключа предназначен для активации приложения путем добавления лицензионного ключа.

Файл ключа отправляется по указанному вами адресу электронной почты после приобретения Kaspersky Endpoint Detection and Response или после заказа пробной версии Kaspersky Endpoint Detection and Response.

Чтобы активировать приложение с помощью файла ключа, не требуется подключение к серверам активации "Лаборатории Касперского".

Если файл ключа был случайно удален, вы можете его восстановить. Файл ключа может потребоваться, например, для регистрации Kaspersky CompanyAccount.

Для восстановления файла ключа выполните одно из следующих действий:

• Обратитесь к продавцу лицензии.
• Получите файл ключа на сайте "Лаборатории Касперского" используя доступный код активации.

В начало

[Topic 225205]

О Kaspersky Security Network

Kaspersky Security Network (KSN) – это инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, интернет-ресурсов и программного обеспечения.

Более подробную информацию об отправке в "Лабораторию Касперского", хранении и уничтожении статистической информации, полученной во время использования KSN, вы можете прочитать в Положении о Kaspersky Security Network и на веб-сайте "Лаборатории Касперского".

Инфраструктура KSN

Kaspersky Security Network поддерживает следующие инфраструктурные решения:

• Глобальный KSN – это решение, которое используют большинство приложений "Лаборатории Касперского". Участники KSN получают информацию от Kaspersky Security Network, а также отправляют в "Лабораторию Касперского" данные об объектах, обнаруженных на компьютере пользователя, для дополнительной проверки аналитиками "Лаборатории Касперского" и пополнения репутационных и статистических баз Kaspersky Security Network.
• KPSN – это решение, позволяющее пользователям компьютеров, на которые установлены приложения "Лаборатории Касперского", получать доступ к репутационным базам Kaspersky Security Network, а также другим статистическим данным, не отправляя данные в KSN со своих компьютеров. KPSN разработан для корпоративных клиентов, не имеющих возможности участвовать в Kaspersky Security Network по следующим причинам:
  • Отсутствие подключения локальных рабочих мест к интернету.
  • Законодательный запрет или ограничение корпоративной безопасности на отправку любых данных за пределы страны или за пределы локальной сети организации.

KPSN необходим для работы Kaspersky Endpoint Detection and Response Expert. KPSN настраивается автоматически в Kaspersky Security Center при активации решения Kaspersky EDR Expert.

Подробная информация о настройке Kaspersky Security Network приведена в документации Kaspersky Security Center.

В начало

[Topic 228508]

Предоставление данных

В этом разделе приведена информация о данных, предоставляемых "Лаборатории Касперского" при использовании Kaspersky Endpoint Detection and Response Expert.

[Topic 220140]

О предоставлении данных

Развернуть все | Свернуть все

Для корректной работы Kaspersky Endpoint Detection and Response Expert требуется обработка данных на стороне "Лаборатории Касперского". Компоненты не отправляют данные без разрешения администратора программы Kaspersky Endpoint Detection and Response Expert.

"Лаборатория Касперского" обеспечивает защиту всех полученных данных в соответствии с законодательством и применимыми правилами "Лаборатории Касперского". Данные передаются по безопасным каналам связи.

Для работы Kaspersky EDR Expert используются следующие данные:

• Данные, перечисленные в Соглашении об обработке данных в разделе "Объем и цели обработки персональных данных".

  Согласие на отправку пользовательских данных предоставляется во время активации решения, при подтверждении вашего согласия с условиями Соглашением об обработке данных. После активации решения можно ознакомиться с Соглашением об обработке данных по нажатию на заголовок Kaspersky Endpoint Detection and Response Expert в разделе Marketplace или на кнопку Параметры Kaspersky EDR Expert в разделе Поиск угроз.

• Информация об алертах

  В Kaspersky Security Center Cloud Console передается следующая информация об алертах:

  • Название и внутренний уникальный идентификатор устройства, связанного с алертом.
  • Имена пользователей и идентификаторы безопасности учетных записей пользователей (SID), связанные с алертом.
  • Дата и время возникновения алерта.
  • Тип алерта (алерт IOA или алерт IOC).
  • Дата и время возникновения первого события, связанного с алертом.
  • Дата и время возникновения последнего события, связанного с алертом.
  • Данные о сработавших правилах:
    • Идентификатор правила.
    • Название правила.
    • Степень важности правила.
    • Уровень надежности правила.
    • Если сработало IOA-правило, передаются следующие данные:
      • Признаки того, что сработало пользовательское правило.
      • Идентификаторы техники и тактики MITRE, связанные со сработавшим правилом.
    • Если сработало IOC-правило, передаются следующие данные:
      • Описание IOC-правила.
      • Информация об обнаруженных объектах (файлах, процессах, загруженных модулях, локальных и удаленных сетевых адресах, ключах и значениях ключей реестра, записях DNS, записях системного журнала, пользователях, службах Windows).
      • Идентификатор, время начала и время окончания задачи поиска IOC.
  • Наблюдаемые объекты

В начало

[Topic 227274]

Задействованные субподрядчики по обработке данных

Следующие субподрядчики участвуют в обработке персональных данных в соответствии с Соглашением об обработке данных Kaspersky Endpoint Detection and Response Expert.

Субподрядчики, задействованные АО "Лаборатория Касперского"

В начало

[Topic 298546]

Регион обработки данных

Центр обработки данных Kaspersky Security Center Cloud Console зависит от страны, указанной при развертывании Kaspersky Security Center Cloud Console. Список стран и соответствующих им регионов, в которых расположены центры обработки данных, приведен в справке Kaspersky Security Center Cloud Console.

Kaspersky EDR Expert поддерживает следующие регионы Kaspersky Security Center Cloud Console: Бразилия, Ирландия:

Регион обработки данных

В начало

[Topic 228505]

Срок хранения данных

Данные, используемые для работы Kaspersky Endpoint Detection and Response Expert, включают:

• События телеметрии, отправляемые с устройств организации.
• Пользовательские IOA-правила, а также исключения из IOA-правил "Лаборатории Касперского".

Время хранения событий телеметрии.

Данные телеметрии хранятся и обрабатываются в инфраструктуре Kaspersky Endpoint Detection and Response Expert в течение 30 дней. События автоматически удаляются через 30 дней после отправки. После истечения срока действия лицензии, события телеметрии также будут удалены в течение 30 дней. Через 29 дней можно получить данные, отправленные в последний день срока действия лицензии.

Время хранения и обработки данных телеметрии можно увеличить до 60 или 90 дней, добавив модуль расширения.

Срок хранения пользовательских IOA-правил и исключений из IOA-правил "Лаборатории Касперского" после истечения срока действия лицензии

После истечения срока действия лицензии параметры хранятся в течение 30 дней. Через 30 дней они будут автоматически удалены.

[Topic 221700]

Начало работы

Прежде чем начать работу с Kaspersky Endpoint Detection and Response Expert, необходимо активировать решение и выполнить первоначальную настройку. В этом разделе приведена информация об активации, первоначальной настройке и прекращении использования Kaspersky EDR Expert.

[Topic 226953]

Об активации Kaspersky Endpoint Detection and Response Expert

Активация решения Kaspersky Endpoint Detection and Response Expert заключается в активации EPP-программ, установленных на защищаемых устройствах, с помощью лицензии, которая включает функциональность Kaspersky Endpoint Detection and Response Expert.

Вы можете приобрести лицензию на Kaspersky Endpoint Detection and Response Expert следующими способами:

• в составе лицензии на использование EPP-программы;
• отдельно, в дополнение к ранее приобретенной лицензии на использование EPP-программы.

Если ваша лицензия на использование EPP-программы на устройствах включает функциональность Kaspersky Endpoint Detection and Response Expert, она станет доступна после выполнения первоначальной настройки решения.

Если вы приобрели лицензию на Kaspersky Endpoint Detection and Response Expert отдельно в дополнение к ранее купленной лицензии, после установки и активации приложения "Лаборатории Касперского" на устройствах необходимо добавить Kaspersky Endpoint Detection and Response в Kaspersky Security Center Cloud Console. После этого можно выполнить первоначальную настройку решения.

[Topic 221551]

Активация Kaspersky Endpoint Detection and Response Expert

Чтобы активировать Kaspersky Endpoint Detection and Response Expert:

1. В Kaspersky Security Center Cloud Console в разделе Лицензии добавьте приобретенный ключ активации для Kaspersky EDR Expert, а затем разверните лицензионный ключ на активах вашей организации. Подробная информация приведена в документации Kaspersky Security Center Cloud Console.
2. В Kaspersky Security Center Cloud Console перейдите в раздел Marketplace и выберите Kaspersky Endpoint Detection and Response Expert.

   Для активации Kaspersky EDR Expert убедитесь, что у вас есть право Разрешить для функциональной области Интеграция с EDR.

3. В открывшемся окне нажмите на кнопку Начать активацию.
4. Примите условия Соглашения об обработке данных Kaspersky EDR Expert и Положения о Kaspersky Security Network.
5. Нажмите на кнопку Переключиться на KPSN, чтобы включить использование KPSN с параметрами Kaspersky EDR Expert.

   Если KPSN уже включен, ваш текущий KPSN будет переключен на KPSN с параметрами Kaspersky EDR Expert.

   Появится сообщение, подтверждающее использование KPSN. Этот шаг гарантирует отправку

   телеметрии

   Данные, отправляемые с активов в Kaspersky Endpoint Detection and Response.

   на выделенные серверы, соответствующие требованиям Общего регламента по защите данных (GDPR).

   Данные телеметрии хранятся в течение 30 дней. Вы можете продлить срок их хранения, добавив модуль расширения.

   По умолчанию данные телеметрии хранятся в инфраструктуре Kaspersky Endpoint Detection and Response Expert в течение 30 дней. Вы можете приобрести модуль расширения, чтобы продлить срок их хранения. Модуль расширения представляет собой лицензию одного из двух типов:

   • Хранение телеметрии Kaspersky Endpoint Detection and Response Expert в течение 60 дней.
   • Хранение телеметрии Kaspersky Endpoint Detection and Response Expert в течение 90 дней.

   При добавлении обоих модулей расширения в Kaspersky EDR Expert, применяется модуль расширения с более длительным сроком хранения данных. Сроки хранения данных не суммируются.

   При добавлении модуля расширения время хранения данных телеметрии зависит от того, была ли телеметрия отправлена до добавления модуля расширения или после него:

   • Перед добавлением модуля расширения. Время хранения определяется лицензией, которая была активна на момент отправки данных с активов.
   • После добавления модуля расширения. Время хранения определяется значением, указанным в модуле расширения.

   Если в дальнейшем вы откажетесь от использования модуля расширения, данные телеметрии будут храниться заданное по умолчанию время. Телеметрия, которая была отправлена в период использования модуля расширения, будет храниться в течение времени, указанного в модуле расширения.

6. Выполните первоначальную настройку решения Kaspersky Endpoint Detection and Response Expert.

Активация Kaspersky Endpoint Detection and Response Expert завершена. Можно приступить к использованию решения.

[Topic 220147]

Первоначальная настройка Kaspersky Endpoint Detection and Response Expert

Чтобы настроить Kaspersky Endpoint Detection and Response Expert:

1. Назначьте стандартную роль главного специалиста по безопасности или создайте роли с собственными параметрами доступа.
2. Убедитесь, что на ваших
   активах

   Устройство с установленной EPP-программой от "Лаборатории Касперского" (например, Kaspersky Endpoint Security для Windows).

   установлена поддерживаемая версия Агента администрирования Kaspersky Security Center, и при необходимости обновите ее.
   Дополнительные сведения об Агенте администрирования Kaspersky Security Center приведены в Kaspersky Security Center Cloud Console.
3. Установите на активы поддерживаемые EPP-программы.
   Убедитесь, что ваша лицензия на использование EPP-программ на устройствах включает функции Kaspersky Endpoint Detection и Response Expert. Обратите внимание, что невозможно активировать решение в дополнение к Kaspersky EDR Optimum.
   Дополнительные сведения об установке EPP-программ приведены в справке Kaspersky Endpoint Security для Windows.
4. Создайте политики для поддерживаемых EPP-программ. Включите Kaspersky EDR Expert и настройте использование Kaspersky Security Network в политиках.

Первоначальная настройка Kaspersky EDR Expert завершена. Вы можете изменить эти параметры, нажав на Kaspersky Endpoint Detection and Response Expert в разделе Marketplace в Kaspersky Security Center Cloud Console.

[Topic 283568]

Временная приостановка использования Kaspersky Endpoint Detection and Response Expert

Необходимо приостановить использование решения на активах, находящихся на территории США (например, во время командировки).

Чтобы временно приостановить использование Kaspersky Endpoint Detection and Response Expert для определенных активов:

1. В Kaspersky Security Center создайте группу администрирования для активов, на которых вы хотите приостановить использование решения. Вы можете изменить список активов в этой группе позже.
2. Для этой группы администрирования создайте политику Kaspersky Endpoint Security для Windows и выключите использование Kaspersky Endpoint Detection and Response Expert и Kaspersky Security Network в параметрах политики.

   Подробнее о настройке политики см. в справке Kaspersky Endpoint Security для Windows по управлению политиками и настройке интеграции с Kaspersky Endpoint Detection and Response Expert.

3. Переместите активы, на которых вы хотите приостановить использование решения, в созданную группу администрирования.

   После синхронизации к активам будет применена новая политика, в которой выключено использование решения Kaspersky Endpoint Detection and Response Expert и Kaspersky Security Network. Также можно вручную выполнить принудительную синхронизацию.

Чтобы возобновить использование Kaspersky Endpoint Detection and Response Expert после приостановления:

1. Исключите актив из группы администрирования, которая используется для приостановки.
2. Примените обычную политику, в которой использование решения включено и настроено для этого актива.

   Активы не будут контролироваться решением Kaspersky Endpoint Detection and Response Expert до тех пор, пока к ним не будет применена политика, в которой разрешено и настроено использование решения.

[Topic 221350]

Управление пользователями

В этом разделе приведена информация о ролях и правах пользователей.

[Topic 221351]

О ролях пользователей

Развернуть все | Свернуть все

Пользователи Kaspersky Endpoint Detection and Response Expert могут иметь разные роли с различным набором прав. В Kaspersky EDR Expert имеются следующие стандартные роли:

• Главный администратор

  Суперпользователь, отвечающий за установку, настройку и работу решения. Для активации Kaspersky Endpoint Detection and Response Expert необходимо обладать правами главного администратора. Главный администратор имеет доступ ко всем функциям Kaspersky EDR Expert. В отличие от главного специалиста по безопасности, главный администратор имеет право на выполнение следующих действий:

  • Управление учетными записями пользователей.
  • Управление ролями и правами доступа пользователей.
  • Добавление, изменение и удаление ключей активации.

  На этой странице приведена дополнительная информация о роли главного администратора в Kaspersky Security Center Cloud Console.

• Главный специалист по безопасности

  Специалист по ИТ-безопасности, расследующий инциденты и управляющий настраиваемыми IOA-правилами, которые определяют алерт в системе ИТ-безопасности. Главный специалист по безопасности имеет право управлять действиями по реагированию и задачами.

  Главный специалист по безопасности имеет полный доступ к функциям Kaspersky EDR Expert, включая алерты, инциденты, настраиваемые IOA-правила и поиск угроз. Он не имеет права на управление пользователями и ролями.

Если стандартные роли не соответствуют потребностям вашей организации, вы можете создать собственные роли.

[Topic 221352]

Установка прав доступа

Для каждого пользователя Kaspersky Security Center Cloud Console, использующего Kaspersky Endpoint Detection and Response Expert, необходимо задать права доступа. Права доступа зависят от действий, которые должны быть доступны для выполнения пользователям.

Чтобы задать права доступа:

1. В Kaspersky Security Center Cloud Console перейдите в раздел ПОЛЬЗОВАТЕЛИ И РОЛИ → РОЛИ и создайте новую роль. Подробная информация о создании ролей приведена в справке Kaspersky Security Center Cloud Console.
2. На вкладке Права доступа для новой роли установите право Разрешить для следующих функциональных областей (в таблице ниже приведены права доступа для роли Главный специалист по безопасности):

   Права доступа к функциям приложения

   Функциональная область	Права	Действие пользователя: право доступа, необходимое для выполнения действия
   Функциональные области Kaspersky Endpoint Detection and Response Expert
   Интеграция с EDR	Чтение. Запись	Просмотр и отзыв согласия с условиями использования решения: Чтение, Запись Просмотр согласия с условиями использования решения: Чтение
   Поиск угроз	Выполнение.	Работа с функцией поиска угроз: Выполнение
   Управление пользовательскими IOA-правилами	Чтение. Запись	Просмотр пользовательских IOA-правил Правило, содержащее описание подозрительной активности в системе, которая может являться признаком целевой атаки. : Чтение Создание и изменение пользовательских IOA-правил: Запись Создание и изменение исключений из IOA-правил "Лаборатории Касперского": Запись
   Исключения IOA	Чтение Запись	Просмотр исключений из IOA-правил "Лаборатории Касперского": Чтение Создание исключений из IOA-правил "Лаборатории Касперского" из разделов информации о событии и деталей алерта: Запись Изменение и удаление исключений из IOA-правил "Лаборатории Касперского": Запись
   Функциональные области платформы реагирования на инциденты
   Алерты и инциденты	Чтение. Запись	Просмотр предупреждений и инцидентов: Чтение Изменение предупреждений и инцидентов: Запись
   Функциональные области Сервера администрирования Kaspersky Security Center
   Общие функции: Базовая функциональность	Чтение. Запись	Пользователю разрешено выполнять действия, для которых требуется право Запись, перечисленные в разделе Общие функции: Базовая функциональность в справке Kaspersky Security Center Cloud Console.

3. Назначьте созданную роль пользователям Kaspersky EDR Expert.

Права доступа установлены.

В начало

[Topic 227724]

Добавление пользователей с ролью Главный специалист по безопасности

Перед назначением роли Главный специалист по безопасности в Kaspersky EDR Expert сначала необходимо создать учетную запись для этого пользователя в Kaspersky Security Center Cloud Console. Подробная информация о создании учетных записей приведена в справке Kaspersky Security Center Cloud Console. Необходимо дождаться, чтобы Администратор добавил созданную учетную запись в рабочую область компании. Только после этого у пользователя появится возможность войти в Kaspersky Security Center Cloud Console с использованием созданной учетной записи и работать в рабочей области компании.

Чтобы добавить в рабочую область пользователя с ролью Главный специалист по безопасности, необходимо связать пользователя и тенанта. Для этого выполните следующие действия:

1. Войдите в учетную запись Kaspersky Security Center Cloud Console в качестве администратора.

   На странице портала отобразится компания, администратором которой вы являетесь, и список ее рабочих областей.

2. Перейдите по ссылке Показать управление доступом.

   Раскроется список учетных записей с доступом к компании.

3. Нажмите на кнопку Предоставить доступ.
4. Введите адрес электронной почты пользователя и выберите уровень доступа Пользователь.
5. Нажмите на кнопку Предоставить.

Будет добавлен новый пользователь с доступом к рабочей области компании. Теперь этому пользователю можно назначить роль Главный специалист по безопасности.

Когда вы назначаете этому пользователю роль главного специалиста по безопасности в Kaspersky Security Center Cloud Console, на шаге 5 мастера выберите все группы администрирования, с которыми должен работать пользователь. Если группы администрирования не выбраны, пользователь не сможет выполнять действия по реагированию на устройствах, принадлежащих этим группам.

В начало

[Topic 221234]

Алерты

В этом разделе приведена общая информация об алертах, их свойствах, стандартном жизненном цикле и связи с инцидентами. Предоставленные инструкции помогут выполнить анализ таблицы алертов, изменить свойства алертов в соответствии с текущим состоянием жизненного цикла и объединить алерты в инциденты, связывая или разъединяя их.

[Topic 221313]

Об алертах

Развернуть все | Свернуть все

Алерт – это событие в ИТ-инфраструктуре организации, отмеченное решением Kaspersky EDR Expert как необычное или подозрительное и, возможно, представляющее угрозу безопасности для ИТ-инфраструктуры организации.

Kaspersky EDR Expert формирует алерты, когда EPP-программа (например, Kaspersky Endpoint Security для Windows) обнаруживает в инфраструктуре определенную активность, соответствующую условиям, заданным в правилах алерта. Алерт всегда регистрируется и создается автоматически, его нельзя создать вручную.

Существуют следующие типы алертов: IOC (индикаторы компрометации) и IOA (индикаторы атак).

Kaspersky EDR Expert добавляет алерты в таблицу алертов как рабочие элементы, которые должны обрабатываться аналитиками. Алерты нельзя удалять, их можно только закрыть.

Алерты могут быть назначены только аналитикам, имеющим право на чтение и изменение алертов и инцидентов.

Вы можете управлять алертами как рабочими элементами, используя следующие их свойства:

• Статус алерта

  Возможные значения: Новый, В работе, Закрыт или Связан с инцидентом.

  Статус алерта показывает текущее состояние алерта в его жизненном цикле. Вы можете изменить статус по своему усмотрению, однако имеются следующие исключения:

  • Закрытый алерт невозможно перевести в статус В работе. Закрытый алерт можно перевести только статус Новый, а затем изменить статус на В работе.
  • Статус Связан с инцидентом нельзя установить вручную. Алерты получают этот статус, если они связаны с инцидентом.
  • Связанным алертам можно установить только статус Закрыт. Чтобы установить статус Новый или В работе, сначала необходимо отменить связь алерта с инцидентом.
• Уровень важности алерта

  Возможные значения: Низкий, Средний, Высокий, Критический.

  Уровень важности алерта показывает, какое влияние этот алерт может оказать на безопасность устройств и корпоративной локальной сети на основе опыта "Лаборатории Касперского". Уровень важности алерта определяется автоматически и не может быть изменен вручную.

• Ответственный за алерт

  Аналитик, которому назначен алерт и который отвечает за его расследование и обработку. Вы можете сменить ответственного за алерт в любое время. Однако существует исключение: невозможно сменить исполнителей закрытых алертов.

Алерты можно объединять и связывать с более крупными рабочими элементами – инцидентами. Вы можете связать алерты с инцидентами вручную или включить правила для автоматического создания инцидентов и привязки к ним алертов. Инциденты позволяют аналитикам исследовать несколько алертов в виде единой проблемы. Когда вы связываете текущий несвязанный алерт с инцидентом, он меняет свой текущий статус на статус Связан с инцидентом. Вы можете связать текущий связанный алерт с другим инцидентом. В этом случае алерт сохраняет статус Связан с инцидентом. К инциденту можно привязать до 200 алертов.

Для каждого алерта есть раздел Детали алерта, содержащий все сведения, относящиеся к алерту. Вы можете использовать эту информацию для расследования алерта, отслеживания событий, предшествующих алерту, просмотра артефактов алерта, затронутых активов, а также для связи алерта с инцидентом.

[Topic 227031]

Типы алертов

Все алерты делятся на следующие типы:

• IOC – индикаторы компрометации

  Алерты этого типа регистрируется в результате выполнения задачи Поиск IOC на защищенном устройстве. Если при срабатывании правила IOC определяется, что событие является алертом, Kaspersky EDR Expert создает алерт IOC. Созданные алерты IOC представляют текущее состояние устройства на момент запуска задачи Поиск IOC. Вы можете создавать собственные правила IOC.

  Алерт IOC всегда соответствует одному правилу IOC, сработавшему в ИТ-инфраструктуре. Если в результате выполнения задачи Поиск IOC срабатывает несколько правил IOC, Kaspersky EDR Expert создает отдельный алерт IOC для каждого сработавшего правила IOC.

  Алерт IOC всегда соответствует одному устройству. Если одно и то же правило IOC сработало на нескольких устройствах, Kaspersky EDR Expert создает отдельный алерт IOC для каждого устройства.

• IOA – индикаторы атак

  Алерты данного типа регистрируются в результате анализа потока данных телеметрии с защищаемых устройств. Если при срабатывании правила IOA определяется, что событие является алертом, Kaspersky EDR Expert создает алерт IOA. Поскольку выполняется постоянный анализ потока данных телеметрии, созданные алерты IOA представляют текущую активность на защищенных устройствах. Правила IOA задаются специалистами "Лаборатории Касперского". Кроме того, вы можете создавать собственные правила IOA.

  Алерт IOA всегда соответствует одному устройству. Если одно и то же правило IOA сработало на нескольких устройствах, Kaspersky EDR Expert создает отдельный IOA-алерт для каждого устройства.

  Kaspersky EDR Expert анализирует события с интервалом в 15 минут. Если в течение 15 минут сработает хотя бы одно IOA-правило, Kaspersky EDR Expert создаст IOA-алерт Если в течение 15 минут на одном устройстве срабатывает несколько IOA-правил (как предопределенных, так и пользовательских), созданный IOA-алерт объединяет все события алертов и сработавшие правила.

  Kaspersky EDR Expert не создает IOA-алерт, если идентичный алерт уже был зарегистрирован на том же устройстве в течение последних 24 часов. Два IOA-алерты считаются идентичными, если для них совпадают следующие свойства:

  • Сработавшие правила IOA.
  • Все хеши MD5, полученные из событий, связанных с алертом.
  • Наблюдаемые объекты для данных с типом IP-адрес и домен.

[Topic 221571]

Просмотр таблицы алертов

В таблице алертов содержится информация обо всех алертах, зарегистрированных Kaspersky EDR Expert.

Чтобы просмотреть таблицу алертов:

1. В главном меню выберите Мониторинг и отчеты → Алерты.
2. Если в Kaspersky Security Center Cloud Console интегрированы как Kaspersky EDR Optimum, так и Kaspersky EDR Expert, раздел Алерты имеет две вкладки. Перейдите на вкладку Expert. В противном случае, пропустите этот шаг.

Отобразится таблица алертов.

Таблица алертов содержит следующие столбцы:

• Идентификатор алерта. Уникальный идентификатор алерта.
• Время регистрации. Дата и время добавления алерта в таблицу алертов.
• Обновлен. Дата и время последнего изменения в истории алерта.
• Статус. Текущий статус алерта.
• Аналитик. Аналитик, которому в настоящее время назначен алерт.
• Источник обнаружения. Приложение, получившее данные телеметрии.
• Технология. Технология, с помощью которой обнаружен алерт.
• Правила. Правила IOC или правила IOA, сработавшие для данного алерта.
• Затронутые активы. Устройства и пользователи, затронутые алертом.
• Наблюдаемые объекты. Артефакты обнаружения, например IP-адреса или MD5 хеши файлов.
• Идентификаторы безопасности. Идентификаторы безопасности пользователей, устройства или учетные записи которых были затронуты алертом.

[Topic 221315]

Просмотр деталей алерта

Развернуть все | Свернуть все

Детали алерта – это страница интерфейса, содержащая все сведения, связанные с алертом, включая свойства алерта.

Чтобы просмотреть детали алерта:

1. В главном меню выберите Мониторинг и отчеты → Алерты.
2. Если в Kaspersky Security Center Cloud Console интегрированы как Kaspersky EDR Optimum, так и Kaspersky EDR Expert, раздел Алерты имеет две вкладки. Перейдите на вкладку Expert. В противном случае, пропустите этот шаг.
3. В таблице алертов нажмите на идентификатор требуемого алерта.

Отобразятся детали алерта.

Панель инструментов в верхней части раздела деталей алерта позволяет выполнять следующие действия:

• Назначить алерт аналитику
• Изменить статус алерта
• Связать алерт с инцидентом
• Отменить связь алерта с инцидентом

В деталях алерта содержатся следующие разделы:

• Общая информация.

  Раздел общей информации содержит следующие свойства алерта:

  • Уровень важности. Возможные значения: Низкий, Средний, Высокий. Уровень важности алерта показывает, какое влияние этот алерт может оказать на безопасность устройств и корпоративной локальной сети на основе опыта "Лаборатории Касперского".
  • Правила. Правила IOC или правила IOA, сработавшие для данного алерта.
  • Время регистрации. Дата и время добавления алерта в таблицу алертов.
  • Первое событие. Дата и время возникновения первого события, связанного с алертом.
  • Последнее событие. Дата и время возникновения последнего события, связанного с алертом.
  • Технология. Технология, с помощью которой обнаружен алерт.
  • Источник обнаружения. Приложение, получившее данные телеметрии.
  • Тактика MITRE. Одна или несколько тактик, обнаруженных в алерте. Тактики определены в базе знаний MITRE ATT&CK.
  • Техника MITRE. Одна или несколько техник, обнаруженных в алерте. Техники определены в базе знаний MITRE ATT&CK.
  • Имя и идентификатор устройства. Имена и идентификаторы устройств, затронутых при алерте. По нажатию на значок с многоточием рядом с именем или идентификатором устройства можно открыть контекстное меню устройства. Это меню используется для получения дополнительных сведений об устройстве, например, для просмотра свойств устройства или поиска по имени или идентификатору устройства в разделе Поиск угроз за последние 24 часа.
  • Имя и идентификатор безопасности пользователя. Имена и идентификаторы безопасности пользователей, устройства или учетные записи которых были затронуты при алерте. По нажатию на значок с многоточием рядом с именем или идентификатором безопасности пользователя можно открыть контекстное меню пользователя. Это меню используется для получения дополнительных сведений об учетной записи пользователя, например, для поиска по имени или идентификатору безопасности пользователя в разделе Поиск угроз за последние 24 часа.
• Подробная информация

  Содержимое этого раздела зависит от типа алерта.

  Детали алерта IOA

  Раздел Сведения деталей алерта IOA можно использовать для отслеживания событий телеметрии, связанных с алертом.

  Доступные действия:

  • Экспортировать в файл. Нажмите на эту кнопку, чтобы сохранить таблицу в CSV-файл.
  • Запрос Поиск угроз. Нажмите на эту кнопку, чтобы открыть раздел Поиск угроз. В этом разделе вы можете определить условия поиска, например, найти все события, в которых было затронуто устройство.
  • Найти события в диапазоне +/- 10 минут. Нажмите на эту кнопку, чтобы просмотреть события в ИТ-инфраструктуре, произошедшие в интервале, который начинается за 10 минут до первого события в разделе Сведения в деталях алерта и завершается через 10 минут после последнего события.
  • Найти события за последние 24 часа. Нажмите на эту кнопку, чтобы просмотреть события в ИТ-инфраструктуре за 24 часа, предшествующих первому событию в разделе Сведения в деталях алерта.

  Детали алерта IOC

  В деталях алерта IOC в разделе Сведения отображаются объекты, обнаруженные в результате выполнения задачи Поиск IOC.

• Активы

  В разделе Активы можно просмотреть активы и пользователей, затронутых при алерте или участвующих в нем.

  Щелкнув по имени пользователя или устройства, можно выполнить следующие действия:

  • Выполнить поиск по имени пользователя или идентификатору устройства в разделе Поиск угроз за последние 24 часа.
  • Выполнить поиск по имени пользователя или идентификатору устройства среди других алертов.
  • Выполнить поиск по имени пользователя или идентификатору устройства среди других инцидентов.
  • Скопировать имя пользователя или устройства в буфер обмена.

  Вы также можете щелкнуть по имени устройства, чтобы перейти к свойствам устройства.

  Щелкнув по идентификатору безопасности пользователя или идентификатору устройства, можно выполнить следующие действия:

  • Выполнить поиск по идентификатору безопасности пользователя или идентификатору устройства в разделе Поиск угроз за последние 24 часа.
  • Выполнить поиск по идентификатору безопасности пользователя или идентификатору устройства среди других алертов.
  • Выполнить поиск по идентификатору безопасности пользователя или идентификатору устройства среди других инцидентов.
  • Скопировать идентификатор безопасности пользователя или идентификатор устройства в буфер обмена.

  Вы также можете щелкнуть по идентификатору устройства, чтобы перейти к свойствам устройства.

• Наблюдаемые объекты

  В разделе Наблюдаемые объекты можно просмотреть наблюдаемые объекты, связанные с алертом. Наблюдаемые объекты могут включать:

  • MD5-хеш
  • IP-адрес
  • Веб-адрес
  • Имя домена

  Щелкнув по ссылке в столбцах Значение или Данные, можно выполнить следующие действия:

  • Выполнить поиск наблюдаемого объекта в разделе Поиск угроз за последние 24 часа.
  • Выполнить поиск наблюдаемого объекта на Kaspersky Threat Intelligence Portal (открывается на новой вкладке браузера).
  • Выполнить поиск наблюдаемого объекта или данных среди других алертов.
  • Выполнить поиск наблюдаемого объекта или данных среди других инцидентов.
  • Скопировать наблюдаемый объект или данные в буфер обмена.
• Похожие закрытые алерты

  В разделе Похожие закрытые алерты можно просмотреть список закрытых алертов, которые затрагивали те же артефакты, что и текущее алерт. Затронутые артефакты включают наблюдаемые объекты и затронутые устройства. Похожие закрытые алерты могут помочь при расследовании текущего алерта.

  Их список позволит оценить степень сходства текущего алерта с другими. Сходство рассчитывается следующим образом:

  Сходство = M / T * 100

  Где M – это количество совпадающих артефактов в текущем и сравниваемом алерте, а T – это общее количество артефактов в текущем алерте.

  Если сходство составляет 100%, текущий алерт полностью совпадает со сравниваемым алертом. Если сходство составляет 0%, текущий и сравниваемый алерт полностью различаются. Алерты со сходством, равным 0%, не включаются в список.

  Рассчитанное значение округляется до ближайшего целого числа. Если сходство составляет от 0% до 1%, это значение не округляется до 0%. В этом случае отображается значение "менее 1%".

  Нажмите на идентификатор алерта, чтобы просмотреть детали алерта.

  Настройка списка похожих закрытых алертов

  Вы можете настроить таблицу, выполнив следующие действия:

  • Отфильтруйте алерты, выбрав период, в течение которого были обновлены алерты. По умолчанию список содержит алерты, обновленные за последние 30 дней.
  • Щелкните значок Настройка столбцов () и выберите, какие столбцы и в каком порядке будут отображаться.
  • Щелкните значок Фильтр () и выберите и настройте фильтры, которые требуется применить. Если вы выбрали несколько фильтров, они применяются одновременно, как объединенные логическим оператором И.
  • Щелкните по заголовку столбца и выберите параметры сортировки. Вы можете отсортировать алерты в порядке возрастания или убывания.

• Похожие инциденты

  В разделе Похожие инциденты можно просмотреть список инцидентов, которые затрагивали те же артефакты, что и текущий алерт. Затронутые артефакты включают наблюдаемые объекты и затронутые устройства. Похожие инциденты могут помочь определить, связан ли текущий алерт с существующим инцидентом.

  Их список позволит оценить степень сходства текущего алерта с инцидентами. Сходство рассчитывается следующим образом:

  Сходство = M / T * 100

  Где M – это количество совпадающих артефактов в текущем алерте и сравниваемом инциденте, а T – это общее количество артефактов в текущем алерте.

  Если сходство составляет 100%, текущий алерт полностью совпадает со сравниваемым инцидентом. Если сходство составляет 0%, текущий алерт и сравниваемый инцидент полностью различаются. Инциденты со сходством, равным 0%, не включаются в список.

  Рассчитанное значение округляется до ближайшего целого числа. Если сходство составляет от 0% до 1%, это значение не округляется до 0%. В этом случае отображается значение "менее 1%".

  По щелчку на идентификаторе инцидента открывается информация об инциденте.

  Настройка списка похожих инцидентов

  Вы можете настроить таблицу, выполнив следующие действия:

  • Отфильтруйте инциденты, выбрав период, в течение которого были обновлены инциденты. По умолчанию список содержит инциденты, обновленные за последние 30 дней.
  • Щелкните значок Настройка столбцов () и выберите, какие столбцы и в каком порядке будут отображаться.
  • Щелкните значок Фильтр () и выберите и настройте фильтры, которые требуется применить. Если вы выбрали несколько фильтров, они применяются одновременно, как объединенные логическим оператором И.
  • Щелкните по заголовку столбца и выберите параметры сортировки. Вы можете отсортировать инциденты в порядке возрастания или убывания.
• Комментарии

  В разделе Комментарии можно добавить комментарии, относящиеся к алерту. Например, вы можете добавить комментарий о результатах расследования или об изменении свойств алерта при смене ответственного за алерт или статуса алерта.

  Вы можете редактировать и удалять собственные комментарии. Комментарии других пользователей изменять и удалять нельзя.

  Чтобы сохранить комментарий, нажмите на клавишу Enter. Чтобы начать новую строку, нажмите комбинацию клавиш Shift + Enter. Чтобы изменить или удалить свой комментарий, используйте кнопки в правом верхнем углу.

  Право Запись в функциональной области Алерты и инциденты необходимо чтобы оставлять комментарии.

• History

  В разделе История можно отслеживать следующие изменения алерта как рабочего элемента:

  • Изменение статуса алерта
  • Смена ответственного за алерт
  • Связь алерта с инцидентом
  • Отмена связи алерта с инцидентом

[Topic 221564]

Назначение алертов аналитикам

Как рабочий элемент, алерт может быть назначен аналитику SOC для проверки и возможного расследования. Ответственного за активный алерт можно изменить в любое время. Ответственного за закрытый алерт изменить нельзя. Вы также можете удалить ответственного, чтобы отменить назначение алерта.

Алерты могут быть назначены только аналитикам, имеющим право на чтение и изменение алертов и инцидентов.

Чтобы назначить алерты аналитику:

1. В главном меню выберите Мониторинг и отчеты → Алерты.
2. Если в Kaspersky Security Center Cloud Console интегрированы как Kaspersky EDR Optimum, так и Kaspersky EDR Expert, раздел Алерты имеет две вкладки. Перейдите на вкладку Expert. В противном случае, пропустите этот шаг.
3. Установите флажки рядом с алертами, которые вы хотите назначить аналитику.
4. Нажмите на кнопку Назначено.
5. В окне Назначить начните вводить имя аналитика, а затем выберите его из списка.

   Вы можете выбрать вариант Не назначен. В этом случае выбранные алерты станут неназначенными, а их статус изменится на Новый.

   Для алерты со статусом В инциденте нельзя выбрать вариант Не назначен.

6. Нажмите на кнопку Сохранить.

Алерты будут назначены аналитику.

[Topic 221565]

Изменение статуса алерта

Развернуть все | Свернуть все

Как рабочий элемент, алерт имеет статус, показывающий текущее состояние алерта в его жизненном цикле.

Вы можете изменить статусы собственных алертов и алертов других аналитиков, только если у вас есть права на чтение и изменение алертов и инцидентов.

Алерт может иметь один из следующих статусов:

• Новый

  Когда Kaspersky EDR Expert регистрирует новый алерт, ему присваивается статус Новый. Вы можете изменить статус на В работе или Закрыт. При изменении статуса со значения Новый на В работе алерт автоматически назначается вам. При изменении статуса со значения Новый на Закрыт алерт автоматически назначается вам, если ему не был назначен ответственный.

• В работе

  Этот статус означает, что аналитик начал работу над алертом. При переводе алерта в статус В работе оно назначается вам автоматически. Вы можете изменить статус В работе на Новый или Закрыт.

• Закрыт

  Реальные алерты должны быть связаны с инцидентами и расследоваться в рамках инцидентов. При закрытии инцидента связанным алертам также присваивается статус Закрыт. Алерты, не связанные с инцидентами, можно закрыть, только если они являются ложными срабатываниями или имеют низкий приоритет. При закрытии алерта необходимо выбрать решение и указать краткий комментарий.

  Статус Закрыт можно изменить только на статус Новый. Чтобы вернуть закрытый алерт в работу, измените его статус следующим образом: Закрыт → Новый → В работе.

  При закрытии алерта, связанного с инцидентом, происходит автоматическая отмена связи с инцидентом. Если для алерта, который вы собираетесь закрыть, не назначен ответственный, он автоматически назначается аналитику, который его закрывает.

• В инциденте

  Алерты получают этот статус, если они связаны с инцидентом. Этот статус нельзя задать вручную. Связанным алертам можно установить только статус Закрыт. Чтобы установить статус Новый или В работе, сначала необходимо отменить связь алерта с инцидентом.

Чтобы изменить статус алертов:

1. В главном меню выберите Мониторинг и отчеты → Алерты.
2. Если в Kaspersky Security Center Cloud Console интегрированы как Kaspersky EDR Optimum, так и Kaspersky EDR Expert, раздел Алерты имеет две вкладки. Перейдите на вкладку Expert. В противном случае, пропустите этот шаг.
3. Установите флажки напротив алертов, статус которых вы хотите изменить.
4. Нажмите на кнопку Изменить статус.
5. В окне Изменить статус выберите требуемый статус.

   При присвоении статуса Закрыт необходимо выбрать решение и указать краткий комментарий.

6. При необходимости оставьте комментарий.
7. Нажмите на кнопку Сохранить.

Статус выбранных алертов будет изменен.

[Topic 221566]

Связь алертов с инцидентами

Вы можете связать алерты с инцидентом, например, по следующим причинам:

• Несколько алертов могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае алерты в инциденте можно расследовать как единую проблему. К инциденту можно привязать до 200 алертов.
• Одиночный алерт можно связать с инцидентом, если он является верным срабатыванием.

алерт можно связать с инцидентом, если он имеет любой статус, кроме статуса Закрыт. При связывании с инцидентом алерт меняет свой текущий статус на специальный статус – Связан с инцидентом. При привязке к выбранному инциденту алертов, связанных с другими инцидентами, происходит отмена связи алертов с этими инцидентами, поскольку алерт может быть связан только с одним инцидентом.

Алерты можно связать с инцидентом вручную или автоматически.

Связь алертов вручную

Чтобы связать алерты с существующим или новым инцидентом:

1. В главном меню выберите Мониторинг и отчеты → Алерты.
2. Если в Kaspersky Security Center Cloud Console интегрированы как Kaspersky EDR Optimum, так и Kaspersky EDR Expert, раздел Алерты разделен на вкладки. Перейдите на вкладку Expert. В противном случае, пропустите этот шаг.
3. Установите флажки рядом с алертами, которые вы хотите связать с инцидентом.
4. Чтобы связать алерты с существующим инцидентом:
   1. Нажмите на кнопку Связать с инцидентом.
   2. Выберите инцидент, с которым требуется связать алерты.
5. Чтобы связать алерты с новым инцидентом:
   1. Нажмите на кнопку Создать инцидент.
   2. Укажите свойства нового инцидента: имя, ответственного и приоритет.
6. Нажмите на кнопку Сохранить.

Выбранные алерты будут связаны с существующим или новым инцидентом.

Связь алертов автоматически

В Kaspersky EDR Expert есть встроенные правила для автоматической связи алертов с инцидентами. По умолчанию эти правила отключены. Вы можете включить их, чтобы обрабатывать недавно зарегистрированные алерты. Можно включать или отключать только все правила сразу.

Правила автоматического создания инцидентов:

• Правило 1. Связь нового алерта с существующим инцидентом

  Kaspersky EDR Expert связывает новый алерт с существующим инцидентом, если хотя бы один из следующих параметров алерта совпадает с соответствующим параметром инцидента:

  • Любое из наблюдаемых объектов (хеш MD5, веб-адрес, IP-адрес, доменное имя).

    Параметр хеш MD5 приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации алерта прошло менее 30 дней. Для остальных параметров (веб-адрес, IP-адрес, доменное имя) этот промежуток времени не должен превышать двух дней.

  • Идентификатор устройства из списка затронутых активов.

    Этот параметр приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации алерта прошло менее одного часа.

  • Сработавшее правило IOC.

    Этот параметр приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации алерта прошло менее одного часа.

  Другие условия, которые должны выполняться для срабатывания правила:

  • Инцидент должен содержать не более 200 алертов.
  • Статус инцидента отличен от Закрыт.
• Правило 2. Создание инцидента из алертов на том же устройстве

  При регистрации нового алерта Kaspersky EDR Expert проверяет одновременное выполнение следующих условий:

  • Новый зарегистрированный алерт и алерты в таблице алертов имеют одинаковый идентификатор устройства.
  • Найденные алерты с совпадающим идентификатором устройства имеют статус Новый.
  • Найденные алерты с совпадающим идентификатором устройства были зарегистрированы в течение 30 минут до нового зарегистрированного алерта.

  Если выполнены эти условия, Kaspersky EDR Expert создает инцидент и связывает новые и найденные алерты с новым инцидентом.

• Правило 3. Создание инцидента из отдельного алерта

  Kaspersky EDR Expert создает инцидент и связывает с ним новое зарегистрированное алерт, если выполняются следующие условия:

  • Алерт был зарегистрирован в результате срабатывания правила IOC.
  • Не сработало ни Правило 1, ни Правило 2 для автоматического создания инцидентов.

Чтобы включить правила автоматического создания инцидентов:

1. Перейдите в раздел Параметры консоли → Интеграция.

   Откроется окно Параметры консоли.

2. На вкладке Интеграция выберите раздел Kaspersky EDR Expert.
3. Нажмите на ссылку Параметры рядом с параметром Создание инцидента.

   Откроется окно Создание инцидента.

4. Выберите параметр Включить правила автоматического создания инцидентов.
5. Нажмите на кнопку OK.

Правила автоматического создания инцидентов будут включены.

[Topic 221568]

Отмена связи алертов с инцидентами

Вам может потребоваться отменить связь между алертом и инцидентом, например, если при анализе и расследовании алерта выяснилось, что он не связан с другими алертами в инциденте. При отмене связи между алертом и инцидентом, Kaspersky EDR Expert выполняет следующие действия:

• Обновляет все данные инцидента с учетом того, что алерт больше не относится к инциденту. Например, вы можете просмотреть изменения в информации об инциденте.
• Устанавливает статус Новый для несвязанных алертов.

Вы можете отменить связь алертов с инцидентами в таблице алертов или в разделе информации об инциденте.

Отмена связи алертов с инцидентами в таблице алертов

Чтобы отменить связь между алертом и инцидентом:

1. В главном меню выберите Мониторинг и отчеты → Алерты.
2. Если в Kaspersky Security Center Cloud Console интегрированы как Kaspersky EDR Optimum, так и Kaspersky EDR Expert, раздел Алерты имеет две вкладки. Перейдите на вкладку Expert. В противном случае, пропустите этот шаг.
3. Установите флажки напротив алертов, для которых требуется отменить связь с инцидентами.
4. Нажмите кнопку Удалить связь с инцидентом.

   Откроется окно Удалить связь алертов.

5. При необходимости введите комментарий. Вы можете указать причину отмены связи с алертами. Комментарий будет добавлен в раздел Комментарии в деталях алерта.
6. При необходимости измените ответственного за алерты, связь с которыми вы отменили.
7. Нажмите на кнопку Сохранить.

Выбранные алерты больше не будут связаны с инцидентами.

Отмена связи алертов с инцидентами в разделе информации об инциденте

Чтобы отменить связь между алертом и инцидентом:

1. В главном меню выберите Мониторинг и отчеты → Инциденты.
2. В таблице инцидентов нажмите на идентификатор инцидента, для которого требуется отменить связь с алертами.

   Откроется окно с информацией об инциденте.

3. В разделе Алерты установите флажки напротив алертов, для которых требуется отменить связь с инцидентом.
4. Нажмите кнопку Удалить связь с инцидентом.

Выбранные алерты больше не будут связаны с инцидентом.

[Topic 221236]

Инциденты

В этом разделе приведена общая информация об инцидентах, их свойствах, стандартном жизненном цикле и связи с алертами. Также в этом разделе приведены инструкции по созданию инцидентов, анализу таблицы инцидентов, изменению свойств инцидентов в соответствии с текущим состоянием жизненного цикла и объединению инцидентов.

[Topic 221314]

Об инцидентах

Развернуть все | Свернуть все

Инцидент – это контейнер алертов, который обычно указывает на реально существующую проблему в ИТ-инфраструктуре организации. Инцидент может содержать одно или несколько алертов. Инциденты позволяют аналитикам исследовать несколько алертов в виде единой проблемы.

Инциденты можно создавать вручную или включить правила автоматического создания инцидентов. После создания инцидента с ним можно связать алерты. К инциденту можно привязать не более 200 алертов.

После создания Kaspersky EDR Expert добавляет инциденты в таблицу инцидентов как рабочие элементы, которые должны обрабатываться аналитиками.

Инциденты могут быть назначены только аналитикам, имеющим право на чтение и изменение алертов и инцидентов.

Вы можете управлять инцидентами как рабочими элементами, используя следующие их свойства:

• Статус инцидента.

  Возможные значения: Новый, В работе, Удерживается, Закрыт.

  Статус инцидента показывает текущее состояние инцидента в его жизненном цикле. Вы можете изменить статус по своему усмотрению, однако имеются следующие исключения:

  • Статус Новый нельзя изменить на Удерживается.
  • Статус Закрыт можно изменить только на Новый.
• Уровень важности инцидента

  Возможные значения: Низкий, Средний, Высокий, Критический.

  Уровень важности инцидента показывает, какое влияние этот инцидент может оказать на безопасность компьютеров и корпоративной локальной сети на основе опыта "Лаборатории Касперского". Уровень важности инцидента соответствует наивысшему уровню важности связанных алертов и не может быть изменен вручную.

• Приоритет инцидента.

  Возможные значения: Низкий, Средний, Высокий, Критический.

  Приоритет инцидентов определяет порядок расследования инцидентов аналитиками. Инциденты с приоритетом Критический – самые срочные, их необходимо расследовать в первую очередь. Приоритет инцидента можно изменить вручную.

• Ответственный за инцидент

  Аналитик, которому назначен инцидент и который отвечает за его расследование и обработку. Вы можете изменить ответственного за инцидент в любое время, если для параметра Статус не задано значение Закрыт.

Несколько инцидентов могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае можно объединить инциденты и расследовать их как единую проблему.

Для каждого инцидента есть раздел информации об инциденте, содержащий все сведения, относящиеся к инциденту. Вы можете использовать эту информацию для расследования инцидента и для объединения инцидентов.

[Topic 221316]

Создание инцидентов

Развернуть все | Свернуть все

Инциденты можно создавать вручную или включить правила автоматического создания инцидентов. В этом разделе описано создание инцидентов вручную.

Для создания инцидентов требуется право на чтение и изменение алертов и инцидентов.

Вы можете создавать инциденты с помощью таблицы инцидентов или таблицы алертов.

Создание инцидентов с помощью таблицы инцидентов

Чтобы создать инцидент:

1. В главном меню выберите Мониторинг и отчеты → Инциденты. Нажмите на кнопку Создать инцидент.
2. На шаге Общие параметры укажите следующие параметры:
   • Название инцидента
   • Ответственный

     Аналитик, которому назначен инцидент и который отвечает за его расследование и обработку. Вы можете изменить ответственного за инцидент в любое время, если для параметра Статус не задано значение Закрыт.

   • Приоритет

     Возможные значения: Низкий, Средний, Высокий, Критический.

     Приоритет инцидентов определяет порядок расследования инцидентов аналитиками. Инциденты с приоритетом Критический – самые срочные, их необходимо расследовать в первую очередь. Приоритет инцидента можно изменить вручную.

   • Описание

     В этом поле можно указать описание инцидента, например, описание проблемы или результаты исследований связанных алертов. Описание добавляется в раздел Комментарии информации об инциденте.

     Поле не является обязательным.

3. На шаге Связь с алертами выберите алерты, которые требуется связать с инцидентом. К инциденту можно привязать до 200 алертов.

   Если вы хотите создать пустой инцидент, пропустите этот шаг. Вы можете привязать алерты к инциденту позже, после его создания.

4. Нажмите на кнопку Сохранить.

Инцидент будет создан.

Создание инцидентов с помощью таблицы алертов

Инцидент создается путем выбора алертов и их связи с новым инцидентом. См. раздел о связи алертов с инцидентами.

[Topic 221573]

Просмотр таблицы инцидентов

В таблице инцидентов содержится информация обо всех созданных инцидентах.

Чтобы просмотреть таблицу инцидентов,

В главном меню выберите Мониторинг и отчеты → Инциденты.

Отобразится таблица инцидентов.

Таблица инцидентов содержит следующие столбцы:

• Идентификатор инцидента, имя. Имя и уникальный идентификатор инцидента.
• Создан. Дата и время создания инцидента.
• Обновлен. Дата и время последнего изменения в истории инцидента.
• Продолжительность угрозы. Время между первым и последними событием среди всех алертов, связанных с инцидентом.
• Статус. Текущий статус инцидента.
• Критичность, приоритет. Критичность и приоритет инцидента.
• Аналитик. Аналитик, которому в настоящее время назначен инцидент.
• Источник обнаружения. Приложение, получившее данные телеметрии.
• Технология. Технологии, выявившие алерты, связанные с инцидентом.
• Затронутые активы. Устройства и пользователи, затронутые инцидентом.
• Наблюдаемые объекты. Количество артефактов обнаружения, например IP-адресов или MD5 хешей файлов.

[Topic 221569]

Просмотр информации об инциденте

Развернуть все | Свернуть все

Информация об инциденте – это страница в интерфейсе, содержащая всю информацию, относящуюся к инциденту, включая свойства инцидента.

Чтобы просмотреть информацию об инциденте:

1. В главном меню выберите Мониторинг и отчеты → Инциденты.
2. В таблице инцидентов нажмите на идентификатор требуемого инцидента.

Откроется окно с информацией об инциденте.

Панель инструментов в верхней части раздела информации об инциденте позволяет выполнять следующие действия:

• Назначить инцидент аналитику
• Изменить статус инцидента
• Связать алерты с инцидентом
• Объединить инцидент с другими инцидентами

В информации об инциденте содержатся следующие разделы:

• Раздел общей информации содержит следующие свойства инцидента:

  • Уровень важности. Возможные значения: Низкий, Средний, Высокий. Уровень важности инцидента показывает, какое влияние этот инцидент может оказать на безопасность компьютеров и корпоративной локальной сети на основе опыта "Лаборатории Касперского".
  • Приоритет: Низкий, Средний, Высокий, Критический. Приоритет инцидентов определяет порядок расследования инцидентов. Инциденты с приоритетом Критический – самые срочные, их необходимо расследовать в первую очередь. Вы можете изменить приоритет, нажав на его текущее значение.
  • Название инцидента. Название, указанное при создании инцидента. Вы можете изменить название инцидента.
  • Способ создания. Как был создан инцидент: вручную или автоматически.
  • Правила. Правила IOC или правила IOA, сработавшие для связанных алертов.
  • Создан. Дата и время создания инцидента.
  • Обновлен. Дата и время последнего изменения в истории инцидента.
  • Первое событие. Дата и время возникновения первого события, связанного с инцидентом. Это самое раннее событие в разделе Сведения в деталях алерта среди всех алертов, связанных с инцидентом.
  • Последнее событие. Дата и время возникновения последнего события, связанного с инцидентом. Это последнее событие в разделе Сведения в деталях алерта среди всех алертов, связанных с инцидентом.
  • Технология. Технологии, выявившие алерты, связанные с инцидентом.
  • Источник обнаружения. Приложение, получившее данные телеметрии.
  • Тактика MITRE. Тактики, выявленные в алертах, связанных с инцидентом. Тактики определены в базе знаний MITRE ATT&CK.
  • Техника MITRE. Техники, выявленные в алертах, связанных с инцидентом. Техники определены в базе знаний MITRE ATT&CK.
  • Имя и идентификатор устройства. Имена и идентификаторы устройств, затронутых инцидентом. По нажатию на значок с многоточием рядом с именем или идентификатором устройства можно открыть контекстное меню устройства. Это меню используется для получения дополнительных сведений об устройстве, например, для просмотра свойств устройства или поиска по имени или идентификатору устройства в разделе Поиск угроз.
  • Имя и идентификатор безопасности пользователя. Имена и идентификаторы безопасности пользователей, устройства или учетные записи которых были затронуты инцидентом. По нажатию на значок с многоточием рядом с именем или идентификатором безопасности пользователя можно открыть контекстное меню пользователя. Это меню используется для получения дополнительных сведений об учетной записи пользователя, например, для поиска по имени или идентификатору безопасности пользователя в разделе Поиск угроз.
• Похожие инциденты

  В разделе Похожие инциденты можно просмотреть список инцидентов, которые затрагивали те же артефакты, что и текущий инцидент. Затронутые артефакты включают наблюдаемые объекты и затронутые устройства алертов, связанных с инцидентом. Список содержит инциденты, имеющие любой статус.

  Этот список позволит оценить степень сходства текущего инцидента с другими инцидентами. Сходство рассчитывается следующим образом:

  Сходство = M / T * 100

  Где M – это количество совпадающих артефактов в текущем и сравниваемом инциденте, а T – это общее количество артефактов в текущем инциденте.

  Если сходство составляет 100%, текущий инцидент полностью совпадает со сравниваемым инцидентом. Если сходство составляет 0%, текущий и сравниваемый инциденты полностью различаются. Инциденты со сходством, равным 0%, не включаются в список.

  Рассчитанное значение округляется до ближайшего целого числа. Если сходство составляет от 0% до 1%, это значение не округляется до 0%. В этом случае отображается значение "менее 1%".

  По щелчку на идентификаторе инцидента открывается информация об инциденте.

  Настройка списка похожих инцидентов

  Вы можете настроить таблицу, выполнив следующие действия:

  • Отфильтруйте инциденты, выбрав период, в течение которого были обновлены инциденты. По умолчанию список содержит инциденты, обновленные за последние 30 дней.
  • Щелкните значок Настройка столбцов () и выберите, какие столбцы и в каком порядке будут отображаться.
  • Щелкните значок Фильтр () и выберите и настройте фильтры, которые требуется применить. Если вы выбрали несколько фильтров, они применяются одновременно, как объединенные логическим оператором И.
  • Щелкните по заголовку столбца и выберите параметры сортировки. Вы можете отсортировать инциденты в порядке возрастания или убывания.
• Алерты

  В разделе Алерты можно просмотреть список алертов, связанных с текущим инцидентом.

  Нажмите на идентификатор алерта, чтобы просмотреть детали алерта. Вы также можете использовать кнопки на панели инструментов, чтобы отменить связь алертов с инцидентом или назначить алерты себе.

• Активы

  В разделе Активы можно просмотреть устройства и пользователей, затронутых инцидентом или участвующих в нем.

  Щелкнув по имени пользователя или устройства, можно выполнить следующие действия:

  • Выполнить поиск по имени пользователя или идентификатору устройства в разделе Поиск угроз за последние 24 часа.
  • Выполнить поиск по имени пользователя или идентификатору устройства среди других алертов.
  • Выполнить поиск по имени пользователя или идентификатору устройства среди других инцидентов.
  • Скопировать имя пользователя или устройства в буфер обмена.

  Вы также можете щелкнуть по имени устройства, чтобы перейти к свойствам устройства.

  Щелкнув по идентификатору безопасности пользователя или идентификатору устройства, можно выполнить следующие действия:

  • Выполнить поиск по идентификатору безопасности пользователя или идентификатору устройства в разделе Поиск угроз за последние 24 часа.
  • Выполнить поиск по идентификатору безопасности пользователя или идентификатору устройства среди других алертов.
  • Выполнить поиск по идентификатору безопасности пользователя или идентификатору устройства среди других инцидентов.
  • Скопировать идентификатор безопасности пользователя или идентификатор устройства в буфер обмена.

  Вы также можете щелкнуть по идентификатору устройства, чтобы перейти к свойствам устройства.

• Наблюдаемые объекты

  В разделе Наблюдаемые объекты можно просмотреть наблюдаемые объекты, относящиеся к алертам, связанным с текущим инцидентом. Наблюдаемые объекты могут включать:

  • MD5-хеш
  • IP-адрес
  • Веб-адрес
  • Имя домена

  Щелкнув по ссылке в столбцах Значение или Данные, можно выполнить следующие действия:

  • Выполнить поиск наблюдаемого объекта или данных в разделе Поиск угроз за последние 24 часа.
  • Выполнить поиск наблюдаемого объекта на Kaspersky Threat Intelligence Portal (открывается на новой вкладке браузера).
  • Выполнить поиск наблюдаемого объекта или данных среди других алертов.
  • Выполнить поиск наблюдаемого объекта или данных среди других инцидентов.
  • Скопировать наблюдаемый объект или данные в буфер обмена.
• History

  В разделе История можно отслеживать следующие изменения инцидента как рабочего элемента:

  • Изменение статуса инцидента
  • Смена ответственного за инцидент
  • Связь алерта с инцидентом
  • Отмена связи алерта с инцидентом
  • Объединение инцидента с другими инцидентами

[Topic 221567]

Назначение инцидентов аналитикам

Как рабочий элемент инцидент назначается аналитику SOC для проверки и возможного расследования. Вы можете сменить ответственного в любое время. Вы также можете удалить ответственного, чтобы отменить назначение инцидента.

Инциденты могут быть назначены только аналитикам, имеющим право на чтение и изменение алертов и инцидентов.

Чтобы назначить инциденты аналитику:

1. В главном меню выберите Мониторинг и отчеты → Инциденты.
2. Установите флажки рядом с инцидентами, которые вы хотите назначить аналитику.
3. Нажмите на кнопку Назначено.
4. В окне Назначить аналитику начните вводить имя аналитика, а затем выберите его из списка.

   Вы можете выбрать вариант Не назначен. В этом случае выбранные инциденты станут неназначенными, а их статус изменится на Новый.

5. Нажмите на кнопку Сохранить.

Инциденты будут назначены аналитику.

[Topic 221572]

Изменение статуса инцидента

Развернуть все | Свернуть все

Как рабочий элемент, инцидент имеет статус, показывающий текущее состояние инцидента в его жизненном цикле.

Вы можете изменить статусы собственных инцидентов и инцидентов других аналитиков, только если у вас есть права на чтение и изменение алертов и инцидентов.

Инцидент может иметь один из следующих статусов:

• Новый

  При создании инцидента вручную или автоматически, ему присваивается статус Новый. Вы можете изменить статус на В работе или Закрыт. При изменении статуса со значения Новый на Закрыт инцидент автоматически назначается вам, если ему не был назначен ответственный.

• В работе

  Этот статус означает, что аналитик начал работу над инцидентом или возобновил работу, изменив статус Удерживается. Вы можете изменить статус В работе на любой другой.

• Удерживается

  Этот статус означает, что аналитик приостановил работу над инцидентом. Обычно статус Удерживается меняется на статус В работе при возобновлении работы. Однако статус Удерживается можно изменить на другие статусы.

• Закрыт

  Инциденты можно закрыть, когда по ним больше не ожидается работы. Вы можете закрыть инцидент, присвоив ему одно из следующих решений:

  • Верное срабатывание
  • Ложное срабатывание
  • Низкий приоритет

  Когда вы закрываете инцидент, связанным алертам также присваивается статус Закрыт и они наследуют решение инцидента. Если для инцидента не назначен ответственный, он автоматически назначается вам. Если закрываемый инцидент имеет неназначенные связанные алерты, эти алерты автоматически назначаются вам.

  Статус Закрыт можно изменить только на статус Новый. Чтобы вернуть закрытый инцидент в работу, измените его статус следующим образом: Закрыт → Новый → В работе.

Чтобы изменить статус инцидентов:

1. В главном меню выберите Мониторинг и отчеты → Инциденты.
2. Установите флажки напротив инцидентов, статус которых вы хотите изменить.
3. Нажмите на кнопку Изменить статус.
4. В окне Изменить статус выберите требуемый статус.

   При присвоении статуса Закрыт необходимо выбрать решение и указать краткий комментарий.

5. При необходимости оставьте комментарий.
6. Нажмите на кнопку Сохранить.

Статус выбранных инцидентов будет изменен.

[Topic 226339]

Изменение приоритета инцидента

Как рабочий элемент, инцидент имеет приоритет, определяющий порядок расследования инцидентов аналитиками. Приоритет инцидента можно изменить вручную.

Вы можете изменить приоритеты собственных инцидентов и инцидентов других аналитиков, только если у вас есть права на чтение и изменение алертов и инцидентов.

Инцидент может иметь один из следующих приоритетов:

• Низкий.
• Средний (значение по умолчанию).
• Высокий.
• Предельный.

Инциденты с приоритетом Критический – самые срочные, их необходимо расследовать в первую очередь. Низкий приоритет обычно означает, что инцидент помещен в очередь. Вы можете задать собственные критерии установления приоритета инцидентов.

Чтобы изменить приоритет инцидента:

1. В главном меню выберите Мониторинг и отчеты → Инциденты.
2. Выполните одно из следующих действий:
   • Установите флажки напротив инцидентов, приоритет которых вы хотите изменить.
   • Нажмите на идентификатор инцидента, чтобы перейти к информации об инциденте, приоритет которого вы хотите изменить.
3. Нажмите на кнопку Изменить приоритет.
4. В окне Изменить приоритет выберите требуемый приоритет.
5. Нажмите на кнопку Сохранить.

Приоритет выбранных инцидентов будет изменен.

[Topic 221570]

Объединение инцидентов

Несколько инцидентов могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае можно объединить инциденты и расследовать их как единую проблему.

При объединении инцидентов необходимо выбрать среди них целевой инцидент. После объединения инцидентов расследование проблемы должно осуществляться рамках целевого инцидента. Целевой инцидент должен иметь статус, отличный от статуса Закрыт. Остальные инциденты объединяются в целевой и им присваивается статус Закрыт и решение Объединен.

Все алерты, связанные с объединяемыми инцидентами, автоматически связываются с целевым инцидентом. Поскольку у инцидента не должно быть более 200 связанных алертов, рассчитывается суммарное количество алертов, связанных с объединяемыми инцидентами. Если общее количество связанных алертов превышает 200, выбранные инциденты объединить невозможно.

Чтобы объединить инциденты из таблицы инцидентов:

1. В главном меню выберите Мониторинг и отчеты → Инциденты.
2. Установите флажки рядом с инцидентами, которые вы хотите объединить в целевой инцидент. Целевой инцидент выбирается на первом шаге мастера.
3. Нажмите на кнопку Объединить инциденты.

   Откроется мастер Объединение инцидентов.

4. Выберите целевой инцидент.
5. Нажмите на кнопку OK.

Инциденты будут объединены.

Чтобы объединить инциденты из окна с информацией об инциденте:

1. В главном меню выберите Мониторинг и отчеты → Инциденты.
2. Нажмите на идентификатор инцидента, чтобы перейти к информации об инциденте. Этот инцидент будет объединен с целевым инцидентом. Целевой инцидент выбирается на первом шаге мастера.
3. Нажмите на кнопку Объединить инциденты.

   Откроется мастер Объединение инцидентов.

4. Выберите целевой инцидент.
5. Нажмите на кнопку OK.

Инциденты будут объединены.

[Topic 221231]

Поиск угроз

В этом разделе приведена общая информация о функциях поиска угроз и инструкции по созданию запросов для поиска угроз и управлению событиями телеметрии.

[Topic 221317]

О поиске угроз

Поиск угроз – это инструмент, позволяющий находить события телеметрии по заданным критериям и анализировать их. Результатом поиска является список событий, обнаруженных на активах организации. Специалисты по ИТ-безопасности могут просматривать события, выявлять подозрительные действия, требующие внимания, и создавать пользовательские правила для автоматизации поиска угроз в организации.

Для осуществления поиска угроз необходимо наличие права Разрешить для функциональной области Поиск угроз.

В начало

[Topic 221318]

Создание и выполнение запросов поиска угроз

Вы можете создавать запросы для поиска угроз в базе данных событий. Простой запрос – это условие поиска, состоящее из поля события, условия и значения. Запрос может содержать одно или несколько условий поиска.

Создание запросов

Вы можете выбрать один из следующих способов создания запроса:

• Введите условия поиска событий в поле поиска запроса.
• Выберите поля событий из предложенного списка полей на вкладке Справка и добавьте условия и значения. Выбранные поля событий автоматически появятся в поле поиска запроса.

Для построения поисковых запросов используется определенный синтаксис. Например, вы можете добавить несколько условий, используя логические операторы OR и AND, а также скобки для создания групп условий.

Выполнение запросов

Чтобы выполнить запрос:

1. Установите временной интервал, чтобы найти события, произошедшие в течение определенного периода. По умолчанию таблица содержит события, произошедшие за последний час.

   Чтобы изменить временной интервал, нажмите на кнопку За час и выберите один из следующих временных интервалов:

   • За час, чтобы просмотреть события, обнаруженные за последний час.
   • За день, чтобы просмотреть события, обнаруженные за последние сутки.
   • За все время, чтобы просмотреть события, обнаруженные за все время.
   • Произвольный интервал, чтобы просмотреть события, обнаруженные в течение указанного промежутка времени.
2. Если вы выбрали вариант Произвольный интервал:
   1. В открывшемся календаре укажите дату и время начала и окончания периода отображения событий.
   2. Нажмите на кнопку Применить.

   Календарь закроется.

3. Нажмите кнопку Применить интервал, чтобы сохранить указанный интервал времени.

   Окно для указания интервала времени закроется.

4. Нажмите на кнопку Выполнить запрос.

Отобразится список событий, удовлетворяющих условиям поиска. Автоматически откроется вкладка События. Вы можете изменить запрос или сохранить его как пользовательское IOA-правило.

В начало

[Topic 229881]

Синтаксис запросов поиска угроз

Для поиска событий телеметрии необходимо использовать определенный синтаксис. В поисковых запросах необходимо использовать следующие синтаксические правила:

• Запрос должен содержать хотя бы одно логическое выражение, соответствующее следующему синтаксису: <имя поля события> <оператор сравнения> <значение поля>.
• Запрос может содержать несколько логических выражений. Логические выражения можно комбинировать с использованием следующих логических операторов:
  • AND (логическое И)

    Результат запроса будет включать все события, удовлетворяющие обоим условиям (слева и справа от оператора AND).

    Например, в результате выполнения запроса DetectActionResult == "Quarantine" AND DetectStatus == "Malware*" будут отображаться события, в которых DetectStatus начинается с Malware и при этом DetectActionResult равен Quarantine.

  • OR (логическое ИЛИ)

    Результат запроса будет включать события, удовлетворяющие хотя бы одному из логических выражений.

    Например, в результате выполнения запроса DetectActionResult == "Quarantine" OR DetectStatus == "Malware*" будут отображаться события, в которых DetectStatus начинается с Malware или DetectActionResult равен Quarantine.

  • NOT (логическое НЕ)

    Результат запроса будет включать события, не удовлетворяющие условию.

    Например, в результате выполнения запроса NOT (DetectActionResult == "Quarantine") будут отображаться события, в которых DetectActionResult не равен Quarantine.

• Порядком выполнения логических операций можно управлять с помощью круглых скобок.

  Например, в результате выполнения запроса (DetectActionResult == "Quarantine" OR DetectStatus == "Malware*") AND FileSize > 16 будут отображаться события, в которых DetectStatus начинается с Malware или DetectActionResult равен Quarantine, и при этом размер вложенного файла превышает 16 байт.

  А в результате выполнения запроса DetectActionResult == "Quarantine" OR (DetectStatus == "Malware*" AND FileSize > 16) будут отображаться события, в которых DetectActionResult равен Quarantine, или DetectStatus начинается с Malware при том, что размер вложенного файла превышает 16 байт.

• Можно использовать следующие операторы сравнения:
  • == (равно)

    Например, в результате выполнения запроса DetectActionResult == "Quarantine" будут отображаться события, в которых значение поля DetectActionResult равно Quarantine.

  • != (не равно)

    Например, в результате выполнения запроса DetectActionResult != "Quarantine" будут отображаться события, в которых значение поля DetectActionResult не равно Quarantine.

  • > (больше чем)

    Например, в результате выполнения запроса FileSize > 16 будут отображаться события с вложенным файлом размером более 16 байт.

  • < (меньше чем)

    Например, в результате выполнения запроса FileSize < 16 будут отображаться события с вложенным файлом размером менее 16 байт.

  • >= (больше или равно)

    Например, в результате выполнения запроса FileSize >= 16 будут отображаться события с вложенным файлом размером большим или равным 16 байт.

  • <= (меньше или равно)

    Например, в результате выполнения запроса FileSize <= 16 будут отображаться события с вложенным файлом размером меньшим или равным 16 байт.

• Список названий полей событий можно просмотреть в разделе Поиск угроз, на вкладке Справка.
• Элемент <тип поля> не чувствителен к регистру символов. Например, результаты выполнения запросов computername == "host" и COMPUTERNAME == "host" будут одинаковы.
• Элемент <значение поля> представляет собой последовательность букв, цифр и специальных символов. <Значение поля> не может быть именем <типа поля>. Строковые значения необходимо заключать в кавычки. Исключением является поиск непустой строки. В этом случае возможен ввод без кавычек (например, computername == * или computername == "*").
• Элемент <значение поля> не чувствителен к регистру символов. Например, результаты выполнения запросов ComputerName == "host" и ComputerName == "HOST" будут одинаковы.
• Элемент <значение поля> может включать следующие специальные символы:
  • *: звездочка обозначает любое количество символов в строке (применимо только к строковым значениям).

    Например, в результате выполнения запроса EventName == "H*" будут отображаться события, начинающиеся с буквы "H".

    Также символ звездочки можно использовать для исключения полей с пустыми значениями: например, в результате выполнения запроса EventName == "*" или EventName == * будут отображаться события, в которых поле EventName имеет непустое значение.

  • ?: знак вопроса обозначает один любой символ в строке (применимо только к строковым значениям).

    Например, в результате выполнения запроса ProcessUserName == "User?" будут отображаться события, у которых ProcessUserName имеет такие значения, как Users, User1, User2 и другие совпадающие подстроки.

  • \: обратный слеш используется для экранирования (использования в запросах) звездочки, знака вопроса и обратного слеша.

    Например, обратный слеш используется при поиске пути: file_pathes == "c:\\windows\\system32\\nslookup.exe".

[Topic 221532]

Создание IOA-правил на основе запросов

Развернуть все | Свернуть все

Вы можете создавать IOA-правила на основе запросов.

Чтобы создать IOA-правило:

1. В главном меню выберите Мониторинг и отчеты → Поиск угроз.
2. В поле поиска запросов введите запрос.
3. Под полем поиска нажмите на кнопку Создать IOA-правило.

   Откроется окно Новое правило.

4. Укажите следующие параметры:
   • Название

     Название правила, указываемое при создании. Это обязательное поле. Название отображается в разделе информации о событии. Это название можно использовать в запросах для поиска угроз.

   • Состояние

     Использование правила при проверке базы событий:

     • Включено – правило используется.
     • Отключено – правило не используется.
   • Критичность

     Уровень вероятного воздействия события на активы организации, указанная пользователем при создании правила:

     • Низкий.
     • Средний
     • Высокий.
   • Доверие

     Уровень надежности в зависимости от вероятности ложных срабатываний, заданный пользователем при создании правила:

     • Низкий.
     • Средний
     • Высокий.
   • Действие

     Действие, применяемое к событию, вызвавшему срабатывание правила:

     • Отмечать событие и создавать алерт
     • Только отмечать событие
   • Описание

     Любая дополнительная информация о правиле, указанная при его создании.

   • Рекомендации

     Рекомендуемые действия, указанные при создании правила.

   • Возможные ложные срабатывания

     Описание возможных ложных срабатываний, указанное при создании правила.

   • Запрос

     Запрос, используемый в правиле. Это обязательное поле. По нажатию на кнопку Изменить запрос можно изменить условия поиска. Запрос откроется в разделе Поиск угроз.

5. Нажмите на кнопку Создать.

Будет создано IOA-правило с условиями запроса. Вы можете проверить созданные IOA-правила в разделе Пользовательские правила. Если к срабатыванию IOA-правила привело возникновение события, название правила отобразится в сведениях о событии.

В начало

[Topic 221537]

Просмотр и настройка списка событий

Список событий отображается по завершении поиска угроз в базе данных событий. Вы можете настроить таблицу событий для удобства анализа, группировать и сортировать события, просматривать детали событий и при необходимости принимать меры.

Группировка событий

По умолчанию события не сгруппированы. Они отображаются единым списком. Вы можете группировать события по имени актива или типу события.

Чтобы сгруппировать события:

1. В главном меню перейдите в раздел Мониторинг и отчеты → Поиск угроз, а затем выполните запрос.
2. Нажмите на кнопку Группировать по.
3. Выберите способ группировки событий:
   • Имя актива
   • Тип события

События сгруппированы.

Чтобы отменить группировку событий:

1. Нажмите на кнопку Группировать по.
2. Выберите Разгруппировать.

События разгруппированы. События отображаются единым списком.

Сортировка событий

Вы можете сортировать события по полям событий

Чтобы отсортировать список событий:

1. Щелкните по названию столбца clientideeventtime или timestamp.
2. Выберите порядок сортировки: по убыванию или по возрастанию.

Значения будут отсортированы. Стрелка рядом с названием столбца показывает порядок сортировки.

В начало

[Topic 226741]

Настройка таблицы событий

Вы можете настроить столбцы, отображаемые в таблице, и изменить их порядок.

Чтобы настроить столбцы:

1. В главном меню выберите Мониторинг и отчеты → Поиск угроз.
2. Щелкните значок , чтобы перейти к параметрам столбцов.
3. В окне параметров столбцов выполните следующие действия:
   • Чтобы изменить столбцы, отображаемые в таблице событий, выберите требуемые столбцы.
   • Чтобы изменить порядок отображаемых столбцов, переместите поля событий.
4. Нажмите на кнопку Сохранить.

Таблица настроена.

[Topic 221538]

Просмотр информации о событии

Развернуть все | Свернуть все

Список событий содержит данные о событиях. Вы также можете перейти к окну с информацией о событии. В окне с информацией о событии приведены все сведения о событии.

Чтобы просмотреть информацию о событии:

1. В главном меню перейдите в раздел Мониторинг и отчеты → Поиск угроз, а затем выполните запрос.
2. Щелкните по строке таблицы, содержащей требуемое событие.

Откроется окно с подробной информацией о событии.

При щелчке по значению в разделе с информацией о событии или в таблице событий открывается контекстное меню со списком действий. Для каждого значения доступны следующие действия:

• Скопировать значение в буфер обмена.
• Добавить или удалить столбец из списка событий.
• Добавить значение в запрос.

  Список событий будет отфильтрован по этому значению.

• Удалить значение из запроса.

  Фильтрация событий по этому полю выполняться не будет.

• Создать запрос с указанным значением.

Кроме того, для объектов типа SID (идентификатор безопасности), UserName (имя пользователя), IP-адрес, MD5, веб-адрес, домен доступны следующие действия:

• Получение дополнительной информации на
  портале Kaspersky Threat Intelligence Portal

  Информационная система "Лаборатории Касперского", содержащая и отображающая информацию о репутации файлов и веб-адресов.

  .
• Просмотр связанных алертов.

  При переходе по этой ссылке открывается список алертов, связанных со значением выбранного поля события. Список алертов открывается на разделе Алерты.

  Чтобы просмотреть список связанных алертов:

  1. Перейдите в раздел Мониторинг и отчеты → Поиск угроз и выполните запрос.
  2. Откройте раздел с информацией о событии и нажмите на требуемое значение, чтобы открыть контекстное меню.

     Контекстное меню также можно открыть, щелкнув значение в таблице событий.

  3. В контекстном меню выбранного значения нажмите на кнопку Перейти к связанным алертам.

  Отобразится список связанных алертов.

  Просмотр связанных алертов доступен только для объектов с типами данных SID (идентификатор безопасности), UserName (имя пользователя), IP-адрес, MD5, веб-адрес, домен.

• Просмотр связанных инцидентов.

  При переходе по этой ссылке открывается список инцидентов, связанных со значением выбранного поля события. Список инцидентов открывается на разделе Инциденты.

  Чтобы просмотреть список связанных инцидентов:

  1. Перейдите в раздел Мониторинг и отчеты → Поиск угроз и выполните запрос.
  2. Откройте раздел с информацией о событии и нажмите на требуемое значение, чтобы открыть контекстное меню.

     Контекстное меню также можно открыть, щелкнув значение в таблице событий.

  3. В контекстном меню выбранного значения нажмите на кнопку Перейти к связанным инцидентам.

  Отобразится список связанных инцидентов.

  Просмотр связанных инцидентов доступен только для объектов с типами данных SID (идентификатор безопасности), UserName (имя пользователя), IP-адрес, MD5, веб-адрес, домен.

Поле enrich.hunts.names содержит названия

Из раздела с информацией о событии можно перейти к

[Topic 228641]

Просмотр дерева событий

Дерево событий представляет собой граф, содержащий информацию о связанных событиях.

Чтобы открыть дерево событий:

1. Откройте информацию о событии.
2. Нажмите на кнопку Дерево событий.

Откроется новая страница. На странице отображается само дерево событий в виде графа процесса, а в правой части страницы – окно с информацией о событии. В этом окне отображается подробная информация о рассматриваемом событии или узле.

В дереве событий содержится следующая информация:

• Исходное событие, информацию о котором вы просматриваете.
• Родительский процесс.

  Родительский процесс отображается слева от просматриваемого события. Он отмечен именем исполняемого файла (без пути). При нажатии на родительский процесс отображается процесс, который инициировал возникновение этого процесса и является родительским по отношению к нему. Если у процесса нет родительского, вместо него отображается имя устройства, на котором был зарегистрирован процесс.

• Целевой процесс.

  Если у процесса есть целевой процесс, он отображается справа от просматриваемого события. Целевой процесс отмечен именем исполняемого файла (без пути). Если начальный процесс указывает на запуск процесса, вместо него отображается целевой процесс.

По щелчку мыши на событии в дереве событий открывается окно с подробной информацией об этом событии.

[Topic 228799]

Просмотр информации о связанных событиях в дереве событий

На странице дерева событий можно просмотреть список событий, связанных с рассматриваемым процессом.

Просмотр информации о связанных событиях возможен только для узлов, соответствующих процессам. Узел процесса – это набор событий, указывающих на запуск процесса.

Чтобы просмотреть события, инициированные процессом:

1. Откройте информацию о событии.
2. Нажмите на кнопку Дерево событий.

   Откроется страница с деревом событий.

3. В дереве событий выберите процесс.

   В правой части страницы откроется окно с информацией о событии.

4. В окне с информацией о событии перейдите на вкладку Связанные события.

Отобразится список событий, связанных с процессом. Этот список можно отфильтровать по типу событий, отобразить или скрыть события в дереве событий. При добавлении событий в дерево событий, узел дерева отмечается типом события.

В списке отображаются только события, произошедшие в течение 12 часов после запуска процесса.

В начало

[Topic 221539]

Пользовательские правила

В этом разделе приведена общая информация о пользовательских правилах и их свойствах, а также информация об управлении пользовательскими правилами.

[Topic 221346]

О пользовательских правилах

IOA-правила (правила для индикаторов атак) позволяют выявлять подозрительные события в инфраструктуре организации и автоматически создавать алерты. Пользовательские правила также можно создавать с помощью запросов в разделе Поиск угроз.

В Kaspersky Endpoint Detection and Response Expert есть два типа правил: пользовательские IOA-правила и правила "Лаборатории Касперского". Пользовательские IOA-правила создают специалисты вашей организации. Правила "Лаборатории Касперского" – это стандартные правила, загруженные автоматически. Если вы хотите исключить событие, вызывающее срабатывание правила "Лаборатории Касперского", из списка подозрительных событий, можно добавить исключение из правил "Лаборатории Касперского".

В следующей таблице показаны различия между пользовательскими IOA-правилами и IOA-правилами "Лаборатории Касперского".

Таблица сравнения пользовательских правил и правил "Лаборатории Касперского"

В начало

[Topic 221545]

Просмотр и настройка списка пользовательских правил

Развернуть все | Свернуть все

Таблица пользовательских правил содержит информацию о пользовательских правилах, используемых для проверки событий и создания алертов. Пользовательские правила делятся на IOA-правила и исключения из правил "Лаборатории Касперского".

Чтобы просмотреть пользовательские правила:

1. В главном меню выберите Мониторинг и отчеты → Пользовательские правила.

   Раздел пользовательских правил имеет две вкладки.

2. Перейдите на вкладку Пользовательские IOA-правила или Исключения из правил "Лаборатории Касперского".

Отобразится список пользовательских правил.

Столбцы таблицы

Таблица пользовательских правил содержит следующие столбцы:

• Название

  Название правила, указываемое при создании. Это обязательное поле. Название отображается в разделе информации о событии. Это название можно использовать в запросах для поиска угроз.

• Состояние

  Использование правила при проверке базы событий:

  • Включено – правило используется.
  • Отключено – правило не используется.
• Критичность

  Уровень вероятного воздействия события на активы организации, указанная пользователем при создании правила:

  • Низкий.
  • Средний
  • Высокий.
• Доверие

  Уровень надежности в зависимости от вероятности ложных срабатываний, заданный пользователем при создании правила:

  • Низкий.
  • Средний
  • Высокий.
• Действие

  Действие, применяемое к событию, вызвавшему срабатывание правила:

  • Отмечать событие и создавать алерт
  • Только отмечать событие
• Описание

  Любая дополнительная информация о правиле, указанная при его создании.

• Рекомендации

  Рекомендуемые действия, указанные при создании правила.

• Возможные ложные срабатывания

  Описание возможных ложных срабатываний, указанное при создании правила.

Сортировка значений

Чтобы отсортировать значения в таблице пользовательских правил:

1. В главном меню выберите Мониторинг и отчеты → Пользовательские правила.

   Раздел пользовательских правил имеет две вкладки.

2. Перейдите на вкладку Пользовательские IOA-правила или Исключения из правил "Лаборатории Касперского".
3. Щелкните по названию столбца и выберите порядок сортировки: по убыванию или возрастанию.

Значения будут отсортированы. Стрелка рядом с названием столбца показывает порядок сортировки. Параметры сортировки сохранятся для дальнейшего использования.

В начало

[Topic 221544]

Просмотр информации о пользовательском правиле

Информация о пользовательском правиле – это страница интерфейса, содержащая все сведения, связанные с пользовательским правилом.

Чтобы просмотреть информацию о пользовательских правилах:

1. В главном меню выберите Мониторинг и отчеты → Пользовательские правила.
2. Раздел Пользовательские правила имеет две вкладки. Перейдите на вкладку Пользовательские IOA-правила или Исключения из правил "Лаборатории Касперского".
3. Выберите правило, информацию о котором вы хотите просмотреть.

Откроется окно с информацией об этом правиле.

[Topic 228437]

Информация о пользовательских правилах

Развернуть все | Свернуть все

В этом разделе отображается информация о пользовательских правилах.

Информация о пользовательских IOA-правилах

Информация о пользовательских IOA-правилах представлена в виде следующих полей:

• Название

  Название правила, указываемое при создании. Это обязательное поле. Название отображается в разделе информации о событии. Это название можно использовать в запросах для поиска угроз.

• Состояние

  Использование правила при проверке базы событий:

  • Включено – правило используется.
  • Отключено – правило не используется.
• Критичность

  Уровень вероятного воздействия события на активы организации, указанная пользователем при создании правила:

  • Низкий.
  • Средний
  • Высокий.
• Доверие

  Уровень надежности в зависимости от вероятности ложных срабатываний, заданный пользователем при создании правила:

  • Низкий.
  • Средний
  • Высокий.
• Действие

  Действие, применяемое к событию, вызвавшему срабатывание правила:

  • Отмечать событие и создавать алерт
  • Только отмечать событие
• Описание

  Любая дополнительная информация о правиле, указанная при его создании.

• Рекомендации

  Рекомендуемые действия, указанные при создании правила.

• Возможные ложные срабатывания

  Описание возможных ложных срабатываний, указанное при создании правила.

• Запрос

  Запрос, используемый в правиле. Это обязательное поле. По нажатию на кнопку Изменить запрос можно изменить условия поиска. Запрос откроется в разделе Поиск угроз.

Действия, доступные из раздела информации о пользовательских IOA-правилах:

• Найти события. Перейдите по этой ссылке, чтобы в разделе Поиск угроз отобразилась таблица событий телеметрии. Данные в таблице отфильтрованы по названию правила.
• Перейти к алертам, отмеченным правилом. Перейдите по этой ссылке, чтобы просмотреть алерты, созданные в результате срабатывания IOA-правила. Список алертов находится в разделе Алерты.
• Перейти к инцидентам, отмеченным правилом. Перейдите по этой ссылке, чтобы просмотреть инциденты, созданные в результате срабатывания IOA-правила. Список инцидентов открывается на разделе Инциденты.
• Изменение информации о правилах.

Исключения из правил "Лаборатории Касперского"

Исключение из правил "Лаборатории Касперского" содержит следующие поля:

• Название

  Название исключения, указываемое при добавлении правила. Это обязательное поле.

• Использование

  Использование правила при проверке базы событий:

  • Всегда. Правило "Лаборатории Касперского" используется при проверке базы событий.
  • С исключениями. Правило "Лаборатории Касперского" используется с исключениями при проверке базы событий. При выборе этого значения отображается поле для ввода или изменения условия.
  • Никогда. Правило "Лаборатории Касперского" не используется при проверке базы событий.

  По умолчанию выбрано значение Всегда. При изменении значения в этом поле создается исключение из правила "Лаборатории Касперского".

• Критичность

  Оценка вероятного воздействия события на активы организации, указанная пользователем при добавлении исключения:

  • Низкая.
  • Средняя.
  • Высокая.
• Доверие

  Уровень надежности в зависимости от вероятности ложных срабатываний, заданный в исключении при добавлении правила:

  • Низкая.
  • Средняя.
  • Высокая.
• Действие

  Действие, применяемое к событию, вызвавшему срабатывание правила:

  • Отметить событие и создать алерт.
  • Только отметить событие.

  По умолчанию выбрано значение Отметить событие и создать алерт. При изменении значения в этом поле создается исключение из правила "Лаборатории Касперского".

• Описание

  Подробное описание правила, указанное пользователем при его добавлении.

• Рекомендации

  Рекомендуемые действия, указанные пользователем при добавлении правила.

• Возможные ложные срабатывания

  Описание возможных ложных срабатываний, указанное пользователем при добавлении правила.

Действия, доступные из раздела информации об исключении:

• Найти события. Перейдите по этой ссылке, чтобы в разделе Поиск угроз отобразилась таблица событий телеметрии. Данные в таблице отфильтрованы по названию правила.
• Перейти к алертам, отмеченным правилом. Перейдите по этой ссылке, чтобы просмотреть алерты, созданные в результате срабатывания IOA-правила. Список алертов открывается на разделе Алерты.
• Перейти к инцидентам, отмеченным правилом. Перейдите по этой ссылке, чтобы просмотреть инциденты, созданные в результате срабатывания IOA-правила. Список инцидентов открывается на разделе Инциденты.
• Изменение информации о правилах.

[Topic 226740]

Настройка таблицы пользовательских правил

Чтобы настроить столбцы:

1. В главном меню выберите Мониторинг и отчеты → Пользовательские правила.
2. В открывшемся разделе Пользовательское правило перейдите на вкладку Пользовательские IOA-правила или Исключения из правил "Лаборатории Касперского".
3. Нажмите кнопку Параметры граф.
4. В появившемся окне выполните следующие действия:
   • Чтобы изменить столбцы, отображаемые в таблице событий, выберите требуемые столбцы.
   • Чтобы изменить порядок отображаемых столбцов, переместите поля событий.
5. Нажмите на кнопку Сохранить.

Таблица настроена.

[Topic 221542]

Создание пользовательских IOA-правил

Чтобы создать пользовательское правило:

1. В главном меню выберите Мониторинг и отчеты → Пользовательские правила.
2. Перейдите на вкладку Пользовательские IOA-правила.
3. Нажмите на кнопку Новое правило.
4. В открывшемся окне заполните обязательные и при необходимости дополнительные поля.
5. Нажмите на кнопку Создать.

Создано пользовательское IOA-правило. IOA-правила также можно создавать из запросов в разделе Поиск угроз. Если вы не хотите использовать созданное правило для поиска событий, вы можете отключить или удалить его.

[Topic 226703]

Создание исключений из IOA-правил "Лаборатории Касперского"

Развернуть все | Свернуть все

Вы можете создавать исключения из правил, заданных специалистами "Лаборатории Касперского", из информации об алертах и событиях. Если вы не хотите использовать созданное исключение для поиска событий, вы можете удалить его.

Чтобы создать исключение из деталей алерта:

1. Выполните одно из следующих действий:
   • В главном меню перейдите в раздел Мониторинг и отчеты → Алерты и откройте информацию об алерте, возникшем в результате срабатывания IOA-правила "Лаборатории Касперского".
   • В главном меню перейдите в раздел Мониторинг и отчеты → Поиск угроз и откройте информацию о событии, возникшем в результате срабатывания IOA-правила "Лаборатории Касперского".
2. Внесите необходимые изменения в следующие поля:
   • Использование

     Использование правила при проверке базы событий:

     • Всегда. Правило "Лаборатории Касперского" используется при проверке базы событий.
     • С исключениями. Правило "Лаборатории Касперского" используется с исключениями при проверке базы событий. При выборе этого значения отображается поле для ввода или изменения условия.
     • Никогда. Правило "Лаборатории Касперского" не используется при проверке базы событий.

     По умолчанию выбрано значение Всегда. При изменении значения в этом поле создается исключение из правила "Лаборатории Касперского".

   • Действие

     Действие, применяемое к событию, вызвавшему срабатывание правила:

     • Отметить событие и создать алерт.
     • Только отметить событие.

     По умолчанию выбрано значение Отметить событие и создать алерт. При изменении значения в этом поле создается исключение из правила "Лаборатории Касперского".

3. Нажмите на кнопку Сохранить.

Исключение будет создано. Вы можете просматривать исключения и управлять ими в разделе Пользовательские правила.

В начало

[Topic 221546]

Изменение пользовательских правил

Чтобы изменить пользовательское IOA-правило:

1. В главном меню выберите Мониторинг и отчеты → Пользовательские правила.
2. В открывшемся разделе Пользовательские правила перейдите на вкладку Пользовательские IOA-правила или Исключения из правил "Лаборатории Касперского".
3. Откройте раздел с информацией о пользовательском IOA-правиле или об исключении из правил "Лаборатории Касперского" и измените значения требуемых полей.

   При нажатии на кнопку Изменить запрос открывается раздел Поиск угроз. Измените условия поиска в поле поиска запроса и сохраните его.

   Изменение значений в полях Использование или Действие для правил "Лаборатории Касперского" создает исключения из правил.

4. Нажмите на кнопку Сохранить.

Изменения сохранены.

В начало

[Topic 221540]

Включение и отключение пользовательских правил

Включение и отключение возможно только для пользовательских IOA-правил. Если требуется удалить исключения из IOA-правила "Лаборатории Касперского", укажите значения по умолчанию в полях Использование и Действие правила.

Чтобы изменить состояние пользовательских IOA-правил Kaspersky EDR Expert:

1. В главном меню выберите Мониторинг и отчеты → Пользовательские правила.
2. Перейдите на вкладку Пользовательские IOA-правила.
3. Выберите одно или несколько правил, которые вы хотите удалить.
4. Нажмите на кнопку Включить или Отключить.

Статус правил изменится соответствующим образом.

[Topic 221541]

Удаление пользовательских IOA-правил

Вы можете удалить одно или несколько пользовательских IOA-правил, или все правила сразу.

Чтобы удалить правило:

1. В главном меню выберите Мониторинг и отчеты → Пользовательские правила.
2. В открывшемся разделе Пользовательское правило перейдите в Пользовательские IOA-правила.
3. Выберите одно или несколько правил, которые вы хотите удалить.
4. Нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

5. Нажмите на кнопку Да, чтобы подтвердить удаление.

Выбранное правило удалено. Правило не будет использоваться для проверки событий.

В начало

[Topic 226715]

Удаление исключений

Вы можете удалить одно или несколько исключений, а также все исключения сразу.

Чтобы удалить исключение:

1. В главном меню выберите Мониторинг и отчеты → Пользовательские правила.
2. В открывшемся разделе Пользовательское правило перейдите на вкладку Исключения из правил "Лаборатории Касперского".
3. Выберите исключения, которые вы хотите удалить.
4. Нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

5. Нажмите на кнопку Да, чтобы подтвердить удаление.

Исключение будет удалено. Для проверки событий будет использоваться IOA-правило "Лаборатории Касперского" без исключения. Для полей Действие и Использование правила "Лаборатории Касперского" будут установлены заданные по умолчанию значения.

[Topic 227655]

Действия по реагированию

Этот раздел содержит информацию о действиях по реагированию на обнаруженные угрозы, доступных в Kaspersky Endpoint Detection and Response Expert.

[Topic 221324]

Сетевая изоляция

Kaspersky Endpoint Detection and Response Expert предоставляет возможность изолировать устройства от сети по требованию (вручную) или в качестве автоматического действия по реагированию на обнаруженные угрозы.

После включения сетевой изоляции приложение разрывает все активные сетевые соединения и блокирует все новые сетевые соединения TCP/IP на устройствах, кроме следующих соединений:

• Соединения, указанные в исключениях из сетевой изоляции.
• Соединения, инициированные службами совместимой EPP-программы.
• Соединения, инициированные Агентом администрирования Kaspersky Security Center.

Сетевая изоляция устройства может быть выполнена вручную в результате применения параметров EPP-программы на устройстве или в деталях алерта, а также автоматически, в результате действий по реагированию на алерт при выполнении задачи поиска IOC. Вы можете разблокировать изолированное устройство вручную из деталей алерта в параметрах EPP-программы на устройстве или из командной строки. Вы также можете настроить период, по истечении которого сетевая изоляция отключится автоматически.

Вы можете настроить исключения из сетевой изоляции. Сетевые соединения, подпадающие под заданные исключения, не будут заблокированы на устройствах после включения сетевой изоляции.

Подробнее об управлении сетевой изоляцией вручную с помощью параметров EPP-программы на устройстве, о настройке параметров автоматического применения сетевой изоляции с помощью политики Kaspersky Security Center, о настройке исключений и о возможностях управления сетевой изоляцией из командной строки см. в справке Kaspersky Endpoint Security для Windows.

[Topic 221327]

Помещение файла на карантин

Одним из возможных действий по реагированию при обнаружении угрозы является помещение файла на карантин.

Карантин – это специальное локальное хранилище на устройстве с EPP-программой, поддерживающей функциональность Kaspersky Endpoint Detection and Response Expert, в которое помещаются файлы, возможно зараженные вирусами или неизлечимые на момент обнаружения. Файлы на карантине хранятся на защищаемом устройстве в зашифрованном виде и не угрожают безопасности устройства.

Файл может быть помещен на карантин вручную или автоматически, в результате действий по реагированию на алерта.

Подробная информация о создании задачи помещения файла на карантин приведена в справке Kaspersky Endpoint Security для Windows.

Восстановление файлов из карантина также доступно из командной строки. Подробнее см. в справке Kaspersky Endpoint Security для Windows.

Объекты помещаются на карантин с использованием системной учетной записи (SYSTEM), если в задаче Поместить файл на карантин не указана другая учетная запись. При восстановлении из карантина файл помещается в исходное местоположение. Если исходное местоположение не существует, файл помещается в специальную папку на устройстве (%ProgramData%\qb\restored), из которой его можно вручную переместить в папку назначения.

В начало

[Topic 229091]

Просмотр списка файлов в карантине

Чтобы просмотреть список файлов в карантине,

в главном окне Kaspersky Security Center Cloud Console перейдите в раздел Хранилища → Карантин.

Подробнее о работе с карантином см. в справке Kaspersky Security Center.

[Topic 227854]

Настройка параметров хранения файлов в Карантине

Чтобы настроить параметры хранения файлов в карантине:

1. В главном окне Kaspersky Security Center Cloud Console перейдите в раздел Устройства → Политики и профили политик.
2. Нажмите на название политики, которую вы хотите настроить.

   Откроется окно свойств политики.

3. Выберите вкладку Параметры приложения.
4. В разделе Хранилища выберите подраздел Карантин и задайте нужные параметры.

   Информацию о доступных для настройки параметрах карантина см. в справке Kaspersky Endpoint Security для Windows.

[Topic 221328]

Удаление файлов

Одним из возможных действий по реагированию при обнаружении угрозы является удаление файла с устройства.

Подробнее о создании задачи удаления файла см. в справке Kaspersky Endpoint Security для Windows.

[Topic 221329]

Запуск проверки важных областей

Одним из возможных действий по реагированию при обнаружении угрозы является запуск на устройстве проверки важных областей.

Проверка важных областей может быть запущена вручную или автоматически, в результате действий по реагированию на алерты.

Подробнее о проверке важных областей см. в справке Kaspersky Endpoint Security для Windows.

[Topic 221325]

Поиск IOC

Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или действиях, указывающих на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача поиска IOC позволяет обнаруживать индикаторы компрометации на устройстве и выполнять действия по реагированию на угрозы.

Для поиска IOC используются IOC-файлы. IOC-файлы содержат набор индикаторов, которые сравниваются с индикаторами события. Если сравниваемые индикаторы совпадают, EPP-программа считает событие алертом. IOC-файлы должны соответствовать стандарту описания OpenIOC.

При обнаружении IOC на устройстве Kaspersky Endpoint Detection and Response Expert выполняет заданное действие по реагированию. Доступны следующие действия по реагированию на обнаруженные IOC:

• Изолировать устройство от сети.
• Запустить проверку важных областей.
• Поместить копию объекта на карантин, а сам объект удалить.

[Topic 221326]

Запрет запуска объектов

Вы можете настраивать правила запрета запуска исполняемых файлов и скриптов, а также открытия файлов офисного формата на выбранных устройствах. Например, вы можете запретить запуск приложений, использование которых считается небезопасным, на выбранном устройстве, защищаемом Kaspersky Endpoint Detection and Response Expert. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

Правило запрета запуска – это набор критериев, которые учитываются при выполнении блокировки. Объект должен соответствовать всем критериям правила защиты, чтобы приложение заблокировало его исполнение.

Kaspersky Endpoint Detection and Response Expert предусматривает следующие режимы применения правил запрета запуска:

• Блокировка и запись в отчет. В этом режиме EPP-программа блокирует исполнение объектов или открытие документов, соответствующих критериям правил запрета запуска.
• Только запись события в отчет. В этом режиме EPP-программа публикует в Журнал событий Windows и Kaspersky Security Center событие о попытках исполнения объектов или открытия документов, соответствующих критериям правил запрета запуска, но не блокирует их исполнение или открытие.

Информация о включении, настройке параметров запрета запуска и управлении правилами запрета запуска из командной строки приведена в справке Kaspersky Endpoint Security для Windows.

В начало

[Topic 227829]

Задача Запуск процесса

Задача Запуск процесса позволяет удаленно запускать файлы на устройстве. Например, вы можете удаленно запустить утилиту, которая создает файл с конфигурацией компьютера, и затем получить созданный файл с помощью задачи получения файла.

Подробнее о создании задачи запуска процесса см. в справке Kaspersky Endpoint Security для Windows.

[Topic 227831]

Задача Завершить процесс

Задача Завершить процесс позволяет удаленно завершать процессы на устройстве. Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи запуска процесса.

Подробнее о создании задачи завершения процесса см. в справке Kaspersky Endpoint Security для Windows.

[Topic 227833]

Задача Получить файл

Задача Получить файл позволяет получать файлы с устройств пользователей. Например, вы можете настроить получение файла журнала событий, который создает стороннее приложение. В результате выполнения задачи файл будет сохранен в карантине. Вы можете загрузить этот файл на компьютер из карантина с помощью Kaspersky Security Center Cloud Console. При этом на компьютере пользователя файл остается в исходной папке.

Подробнее о создании задачи получения файла см. в справке Kaspersky Endpoint Security для Windows.

[Topic 221312]

Мониторинг и отчеты

В этом разделе описаны функции мониторинга и создания отчетов с помощью Kaspersky EDR Expert. Эти функции предоставляют обзор состояния защиты ИТ-инфраструктуры.

Вы можете отслеживать состояние защиты с помощью веб-виджетов в разделе Мониторинг в консоли. Вы можете добавлять веб-виджеты, менять их расположение на панели мониторинга и выбирать период отображения данных.

[Topic 226514]

О веб-виджетах в Kaspersky EDR Expert

В этом разделе описаны возможности веб-виджетов, относящиеся исключительно к Kaspersky EDR Expert. Общая информация о веб-виджетах приведена в документации Kaspersky Security Center Cloud Console.

Чтобы контролировать состояние защиты ИТ-инфраструктуры организации, можно добавить и настроить следующие веб-виджеты на панели мониторинга:

• Веб-виджеты для контроля алертов:
  • Новые алерты (EDR Expert)
  • Закрытые алерты (EDR Expert)
  • Закрытые алерты, не связанные с инцидентами (EDR Expert)
• Веб-виджеты для контроля инцидентов:
  • Новые инциденты (EDR Expert)
  • Закрытые инциденты (EDR Expert)

Данные отображаются на веб-виджетах только при соблюдении следующих условий:

• Консоль подключена к физическому Серверу администрирования. Если консоль подключена к виртуальному Серверу администрирования, данные на веб-виджетах не отображаются.
• У вас есть право на чтение и изменение алертов и инцидентов.
• Решение Kaspersky EDR Expert интегрировано с Kaspersky Security Center Cloud Console. При истечении срока действия лицензии Kaspersky EDR Expert или удалении кода активации Kaspersky EDR Expert из хранилища, вам может быть предоставлен льготный период для продления лицензии, в течение которого приложение продолжает работать. В течение льготного периода в веб-виджетах по-прежнему будут отображаться данные, однако данные, появившиеся или измененные в течение льготного периода, не будут включены в отображаемые.

[Topic 226565]

Добавление веб-виджетов на панель мониторинга

Вы можете добавить веб-виджеты на Панель мониторинга в любой момент. Чтобы веб-виджеты отображали данные, необходимо выполнение ряда условий.

Чтобы добавить веб-виджеты для контроля алертов и инцидентов:

1. В разделе Панель мониторинга выберите Добавить или восстановить веб-виджет.
2. В открывшемся окне выберите категорию Операции безопасности, а затем веб-виджет, который требуется добавить на Панель мониторинга.
3. Нажмите на кнопку Добавить.

Выбранный веб-виджет будет добавлен на панель мониторинга. Вы можете настроить внешний вид веб-виджетов для контроля алертов и инцидентов.

[Topic 226588]

Настройка веб-виджетов для мониторинга алертов

Для контроля алертов можно добавить и настроить следующие веб-виджеты на панели мониторинга:

• Новые алерты (EDR Expert)

  Этот веб-виджет позволяет контролировать количество алертов, зарегистрированных в ИТ-инфраструктуре за определенный период времени.

• Закрытые алерты (EDR Expert)

  Этот веб-виджет позволяет контролировать количество алертов, закрытых за определенный период времени. В веб-виджете отображаются все алерты, имеющие в настоящий момент статус Закрыт и закрытые в течение выбранного периода времени.

• Закрытые алерты, не связанные с инцидентами (EDR Expert)

  Этот веб-виджет позволяет контролировать количество алертов, имеющих в настоящий момент статус Закрыт, не связанных с инцидентами и закрытых в течение выбранного периода времени.

Общие инструкции по настройке и управлению веб-виджетами приведены в документации Kaspersky Security Center Cloud Console.

Настройка периода времени для отображения

Можно изменить период времени, за который вы хотите отслеживать статистику по алертам с помощью веб-виджета.

Чтобы изменить период времени для отображения данных в веб-виджете:

1. Перейдите в Мониторинг и отчеты → Панель мониторинга.
2. Нажмите на значок Параметры () на веб-виджете, который вы хотите настроить.
3. Выберите Показать параметры.
4. В открывшемся окне параметров веб-виджета измените период времени для отображения данных:
   • С даты начала до даты окончания

     Укажите дату начала и окончания периода времени.

   • С даты начала до настоящего момента

     Укажите дату начала периода времени.

   • Указанное количество дней до сегодняшнего дня
5. Нажмите на кнопку Сохранить.

На веб-виджете на странице Панель мониторинга отобразятся данные за выбранный период.

Просмотр детализированных данных

В поле Всего на веб-виджете отображается общее количество алертов, которые показаны на графике за выбранный период времени. Перейдите по ссылке Всего, чтобы просмотреть все алерты, содержащиеся в таблице алертов.

В веб-виджете период времени разделен на временные интервалы, представленные столбцами. Вы можете выбрать требуемый временной интервал: сутки, четыре часа или час. Наведите указатель мыши на столбец графика, чтобы просмотреть количество алертов за выбранный интервал. Нажмите на столбец графика, чтобы открыть список алертов за выбранный интервал в таблице алертов.

[Topic 226597]

Настройка веб-виджетов для мониторинга инцидентов

Для контроля инцидентов можно добавить и настроить следующие веб-виджеты на панели мониторинга:

• Новые инциденты (EDR Expert)

  Этот веб-виджет позволяет контролировать количество инцидентов, созданных в ИТ-инфраструктуре за определенный период времени.

• Закрытые инциденты (EDR Expert)

  Этот веб-виджет позволяет контролировать количество инцидентов, закрытых за определенный период времени. В веб-виджете отображаются все инциденты, имеющие в настоящий момент статус Закрыт и закрытые в течение выбранного периода времени.

Общие инструкции по настройке и управлению веб-виджетами приведены в документации Kaspersky Security Center Cloud Console.

Настройка периода времени для отображения

Можно изменить период времени, за который вы хотите отслеживать статистику по инцидентам с помощью веб-виджета.

Чтобы изменить период времени для отображения данных в веб-виджете:

1. Перейдите в Мониторинг и отчеты → Панель мониторинга.
2. Нажмите на значок Параметры () на веб-виджете, который вы хотите настроить.
3. Выберите Показать параметры.
4. В открывшемся окне параметров веб-виджета измените период времени для отображения данных:
   • С даты начала до даты окончания

     Укажите дату начала и окончания периода времени.

   • С даты начала до настоящего момента

     Укажите дату начала периода времени.

   • Указанное количество дней до сегодняшнего дня
5. Нажмите на кнопку Сохранить.

На веб-виджете на странице Панель мониторинга отобразятся данные за выбранный период.

Просмотр детализированных данных

В поле Всего на веб-виджете отображается общее количество инцидентов, которые показаны на графике за выбранный период времени. Перейдите по ссылке Всего, чтобы открыть все инциденты, содержащиеся в таблице инцидентов.

В веб-виджете период времени разделен на временные интервалы, представленные столбцами. Вы можете выбрать требуемый временной интервал: сутки, четыре часа или час. Наведите указатель мыши на столбец графика, чтобы просмотреть количество инцидентов за выбранный интервал. Щелкните по столбцу графика, чтобы открыть список инцидентов за выбранный интервал в таблице инцидентов.

[Topic 70331]

Связаться со Службой технической поддержки

Этот раздел содержит информацию о способах и условиях получения технической поддержки.

[Topic 68247]

Способы получения технической поддержки

Если вы не нашли решения вашей проблемы в документации Kaspersky Endpoint Detection and Response или в других источниках информации о приложении, обратитесь в Службу технической поддержки. Сотрудники Службы технической поддержки ответят на все ваши вопросы об установке и использовании Kaspersky Endpoint Detection and Response Expert.

"Лаборатория Касперского" обеспечивает поддержку решения Kaspersky Endpoint Detection and Response Expert в течение его жизненного цикла (см. таблицу поддерживаемых приложений). Перед обращением в Службу технической поддержки ознакомьтесь с правилами предоставления технической поддержки.

Вы можете связаться со специалистами Службы технической поддержки одним из следующих способов:

• Посетить веб-сайт технической поддержки.
• Отправить запрос в Службу технической поддержки с портала Kaspersky CompanyAccount.

[Topic 68417]

Техническая поддержка через Kaspersky CompanyAccount

Kaspersky CompanyAccount – это портал для организаций, использующих приложения "Лаборатории Касперского". Портал Kaspersky CompanyAccount предназначен для взаимодействия пользователей со специалистами "Лаборатории Касперского" с помощью электронных запросов. На портале Kaspersky CompanyAccount можно отслеживать статус обработки электронных запросов и хранить их историю.

Вы можете зарегистрировать всех сотрудников вашей организации в рамках одной учетной записи Kaspersky CompanyAccount. Одна учетная запись позволяет вам централизованно управлять электронными запросами от зарегистрированных сотрудников в "Лабораторию Касперского", а также управлять правами этих сотрудников в Kaspersky CompanyAccount.

Портал Kaspersky CompanyAccount доступен на следующих языках:

• английском;
• испанском;
• итальянском;
• немецком;
• польском;
• португальском;
• русском;
• французском;
• японском.

Вы можете узнать больше о Kaspersky CompanyAccount на веб-сайте Службы технической поддержки.

[Topic 221344]

Прекращение использования решения Kaspersky Endpoint Detection and Response Expert

Если вы решили прекратить использование Kaspersky Endpoint Detection and Response Expert, отзовите свое согласие с условиями использования решения Kaspersky EDR Expert.

Чтобы отозвать согласие с условиями использования решения Kaspersky EDR Expert:

1. Перейдите в раздел Поиск угроз, а затем нажмите на ссылку Параметры Kaspersky EDR Expert.

   Откроется страница с параметрами Kaspersky EDR Expert.

2. На вкладке Параметры нажмите на кнопку Отозвать согласие.
3. Подтвердите, что вы хотите отозвать свое согласие с условиями использования Kaspersky Endpoint Detection and Response Expert.

Ваше согласие с условиями использования решения Kaspersky EDR Expert будет отозвано.

Чтобы удалить информацию о вашей организации из инфраструктуры Kaspersky EDR Expert, обратитесь в Службу технической поддержки.

[Topic 80831]

Источники информации о программе

Этот раздел содержит описание источников информации о приложении.

Вы можете выбрать наиболее удобный источник информации в зависимости от важности и срочности вопроса.

[Topic 95897]

Глоссарий

Endpoint Protection Platform (EPP)

Интегрированная система комплексной защиты конечных устройств (например, мобильных устройств, компьютеров или ноутбуков), включающая различные технологии безопасности. Примером решения Endpoint Protection Platform является Kaspersky Endpoint Security для бизнеса.

EPP-программа

Программа, входящая в состав системы защиты конечных устройств (Endpoint Protection Platform или EPP). EPP-программы устанавливаются на конечные устройства внутри IT-инфраструктуры организации (например, мобильные устройства, компьютеры или ноутбуки). Примером EPP-программы является Kaspersky Endpoint Security для Windows в составе EPP-решения Kaspersky Endpoint Security для бизнеса.

IOA

Индикатор атаки (IOA), описание подозрительного поведения объектов в ИТ-инфраструктуре организации, которое может являться признаком атаки, нацеленной на эту организацию.

IOA-правило

Правило, содержащее описание подозрительной активности в системе, которая может являться признаком целевой атаки.

IOC

Индикатор компрометации (IOC – indicator of compromise) является свидетельством нарушения системы безопасности на устройстве.

Актив

Устройство с установленной EPP-программой от "Лаборатории Касперского" (например, Kaspersky Endpoint Security для Windows).

Алерт

Событие в ИТ-инфраструктуре организации, отмеченное как необычное или подозрительное и, возможно, представляющее угрозу безопасности для ИТ-инфраструктуры организации.

Действие по реагированию

Действие по реагированию на инцидент – это структурированная методология обработки инцидентов и нарушений системы безопасности и киберугроз.

Инцидент

Действие, оцениваемое технологией обнаружения как критическое и требующее немедленной реакции со стороны Kaspersky Endpoint Detection and Response.

Событие

Любое существенное происшествие в системе, в приложении или на управляемых устройствах, требующее уведомления пользователя.

Тактика MITRE

Цель, которую хотел достичь злоумышленник во время кибератаки на инфраструктуру клиента.

Телеметрия

Данные, отправляемые с активов в Kaspersky Endpoint Detection and Response.

Тенант

Организация, которой предоставляется решение Kaspersky Endpoint Detection and Response.

Техника MITRE

Метод, используемый злоумышленником для выполнения вредоносных действий во время кибератаки на инфраструктуру клиента. Каждая тактика MITRE содержит набор техник MITRE.

[Topic 228787]

Известные проблемы

В Kaspersky Endpoint Detection and Response имеется ряд ограничений, не являющихся критичным для работы приложения.

• Если в таблицах алертов и инцидентов в столбцах объединены два и более типов данных, такие столбцы можно отсортировать только по одному из типов данных.
  • Столбец, в котором объединены идентификатор и уровень важности алерта, можно отсортировать только по идентификатору алерта.
  • Столбец, в котором объединены дата регистрации алерта и способ связи алерта с инцидентом, можно отсортировать только по дате регистрации алерта.
  • Столбец, в котором объединены статус алерта, решение по инциденту и идентификатор инцидента, можно отсортировать только по статусу алерта.
  • Столбец, в котором объединены дата создания и метод создания инцидента, можно отсортировать только по дате создания инцидента.
  • Столбец, в котором объединены идентификатор и название инцидента, можно отсортировать только по идентификатору инцидента.
• Если в разделе Поиск угроз в список загружено более 1000 событий, веб-страница может не отвечать.
• Правило "Лаборатории Касперского" нельзя отключить, установив для параметра Использование значение Никогда. Правило продолжит работать и формировать новые алерты.
• При переименовании правила "Лаборатории Касперского" к информации о правиле нельзя будет перейти из события, отмеченного этим правилом до его переименования.
• Поиск информации по имени устройства за определенный промежуток времени в разделе Поиск угроз может обрабатываться до 20 минут.
• В информации об IOA-правилах "Лаборатории Касперского" неправильно сформированы ссылки на подтехники MITRE. Связанные веб-страницы не открываются.
• При создании запроса по нестроковому значению из деталей алерта в поле запроса это значение автоматически указывается как строковое.
• В разделе Поиск угроз некорректно работает запрос по полю AnyUserName.
• Когда вы перемещаете задачу проверки IOC в другую группу устройств, сведения об этой задаче становятся недоступными.

В начало

[Topic 228028]

Информация о стороннем коде

При разработке решения использовался сторонний код.

Для получения информации о стороннем коде, используемом в Kaspersky Endpoint Detection and Response Expert, обратитесь в службу поддержки Kaspersky Endpoint Detection and Response Expert.

Информация о стороннем коде, используемом в Kaspersky Endpoint Detection and Response Expert, содержится в файле legal_notices.txt.

[Topic 220162]

Уведомления о товарных знаках

Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.

Amazon, Amazon Web Services, AWS являются товарными знаками Amazon.com, Inc. или аффилированных лиц компании.

Microsoft, Windows – являются товарными знаками группы компаний Microsoft.