Kaspersky Unified Monitoring and Analysis Platform
2.0
Русский

Содержание

Правила реагирования

Вы можете настроить автоматическое выполнение задач Kaspersky Security Center, действий по реагированию Kaspersky Endpoint Detection and Response и запуска пользовательского скрипта при получении событий, для которых настроены правила реагирования.

Автоматическое выполнение задач Kaspersky Security Center, Kaspersky Endpoint Detection and Response и KICS for Networks по правилам реагирования доступно при интеграции с перечисленными программами.

В этом разделе

Правила реагирования для Kaspersky Security Center

Правила реагирования для пользовательского скрипта

Правила реагирования для KICS for Networks

Правила реагирования для Kaspersky Endpoint Detection and Response
В начало
[Topic 217972]

Правила реагирования для Kaspersky Security Center

Вы можете настроить правила реагирования для автоматического запуска задач антивирусной проверки и обновления на активах Kaspersky Security Center.

При создании и изменении правил реагирования для Kaspersky Security Center вам требуется задать значения для следующих параметров:

  • Название (обязательно) – уникальное имя ресурса. Должно содержать от 1 до 128 символов Юникода.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – ksctasks.

    Доступно при интеграции KUMA с Kaspersky Security Center.

  • Задача Kaspersky Security Center (обязательно) – название задачи Kaspersky Security Center, которую требуется запустить. Задачи должны быть созданы заранее, и их названия должны начинаться со слова "KUMA ". Например, KUMA antivirus check (без учета регистра и без кавычек).
  • Поле события (обязательно) – определяет поле события для актива, для которого нужно запустить задачу Kaspersky Security Center. Возможные значения:
    • SourceAssetID.
    • DestinationAssetID.
    • DeviceAssetID.
  • Рабочие процессы – количество процессов, которые сервис может запускать одновременно.

    По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

  • Описание – вы можете добавить до 4000 символов Юникода, описывающих ресурс.
  • Фильтр – используется для определения условий, при соответствии которым события будут обрабатываться ресурсом правила реагирования. В раскрывающемся списке можно выбрать существующий ресурс фильтра или создать новый фильтр.

Для отправки запросов в Kaspersky Security Center необходимо убедиться, что Kaspersky Security Center доступен по протоколу UDP.

Если ресурс правила реагирования принадлежит общему тенанту, то в качестве доступных для выбора задач Kaspersky Security Center отображаются задачи от сервера Kaspersky Security Center, к которому подключен главный тенант.

Если в ресурсе правила реагирования выбрана задача, которая отсутствует на сервере Kaspersky Security Center, к которому подключен тенант, для активов этого тенанта задача не будет выполнена. Такая ситуация может возникнуть, например, когда два тенанта используют общий коррелятор.

В начало
[Topic 233363]

Правила реагирования для пользовательского скрипта

Вы можете создать скрипт с командами, которые требуется выполнить на сервере KUMA при обнаружении выбранных событий, и настроить правила реагирования для автоматического запуска этого скрипта. В этом случае программа запустит скрипт при получении событий, соответствующих правилам реагирования.

Файл скрипта хранится на сервере, где установлен сервис коррелятора, использующий ресурс реагирования: /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts. Пользователю kuma этого сервера требуются права на запуск скрипта.

При создании и изменении правил реагирования для произвольного скрипта вам требуется задать значения для следующих параметров:

  • Название (обязательно) – уникальное имя ресурса. Должно содержать от 1 до 128 символов Юникода.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – script.
  • Время ожидания – количество секунд, в течение которого должно завершиться выполнение скрипта. Если это время превышено, выполнение скрипта прерывается.
  • Название скрипта (обязательно) – имя файла скрипта.

    Если ресурс реагирования прикреплен к сервису коррелятора, но в папке /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts файл скрипта отсутствует, коррелятор не будет работать.

  • Аргументы скрипта – параметры или значения полей событий, которые необходимо передать скрипту.

    Если в скрипте производятся какие-либо действия с файлами, к ним следует указывать абсолютный путь.

    Параметры можно обрамлять кавычками (").

    Имена полей событий передаются в формате {{.EventField}}, где EventField – это имя поля события, значение которого должно быть передано в скрипт.

    Пример: -n "\"usr\": {{.SourceUserName}}"

  • Рабочие процессы – количество процессов, которые сервис может запускать одновременно.

    По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

  • Описание – вы можете добавить до 4000 символов Юникода, описывающих ресурс.
  • Фильтр – используется для определения условий, при соответствии которым события будут обрабатываться ресурсом правила реагирования. В раскрывающемся списке можно выбрать существующий ресурс фильтра или создать новый фильтр.

    Создание фильтра в ресурсах

    1. В раскрывающемся списке Фильтр выберите Создать.
    2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

      В этом случае вы сможете использовать созданный фильтр в разных сервисах.

      По умолчанию флажок снят.

    3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
    4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

        В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

      3. В раскрывающемся списке оператор выберите нужный вам оператор.

        Операторы фильтров

        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
        • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
        • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
        • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
        • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
        • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

        Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

        По умолчанию флажок снят.

      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
      6. Вы можете добавить несколько условий или группу условий.
    5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
    6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

      Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 233366]

Правила реагирования для KICS for Networks

Вы можете настроить правила реагирования для автоматического запуска действий по реагированию на активах KICS for Networks. Например, изменить статус актива в KICS for Networks.

При создании и изменении правил реагирования для KICS for Networks вам требуется задать значения для следующих параметров:

  • Название (обязательно) – уникальное имя ресурса. Должно содержать от 1 до 128 символов Юникода.
  • Тенант (обязательно) – название тенанта, которому принадлежит ресурс.
  • Тип (обязательно) – kics.
  • Поле события (обязательно) – поле события с активом, для которого нужно выполнить действия по реагированию. Возможные значения:
    • SourceAssetID.
    • DestinationAssetID.
    • DeviceAssetID.
  • Задача KICS for Networks – действие по реагированию, которое требуется выполнить при получении данных, соответствующих фильтру. Доступны следующие типы действий по реагированию:
    • Изменить статус актива на Разрешенное.
    • Изменить статус актива на Неразрешенное.

    При срабатывании правила реагирования из KUMA в KICS for Networks будет отправлен API-запрос на изменение статуса указанного устройства на Разрешенное или Неразрешенное.

  • Рабочие процессы – количество процессов, которые сервис может запускать одновременно.

    По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

  • Описание – вы можете добавить до 4000 символов Юникода, описывающих ресурс.
  • Фильтр – используется для определения условий, при соответствии которым события будут обрабатываться ресурсом правила реагирования. В раскрывающемся списке можно выбрать существующий ресурс фильтра или создать новый фильтр.

    Создание фильтра в ресурсах

    1. В раскрывающемся списке Фильтр выберите Создать.
    2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

      В этом случае вы сможете использовать созданный фильтр в разных сервисах.

      По умолчанию флажок снят.

    3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
    4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

        В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

      3. В раскрывающемся списке оператор выберите нужный вам оператор.

        Операторы фильтров

        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
        • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
        • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
        • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
        • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
        • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

        Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

        По умолчанию флажок снят.

      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
      6. Вы можете добавить несколько условий или группу условий.
    5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
    6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

      Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 233722]

Правила реагирования для Kaspersky Endpoint Detection and Response

Вы можете настроить правила реагирования для автоматического запуска действий по реагированию на активах Kaspersky Endpoint Detection and Response. Например, вы можете настроить автоматическую изоляцию актива от сети.

При создании и изменении правил реагирования для Kaspersky Endpoint Detection and Response вам требуется задать значения для следующих параметров:

  • Поле события (обязательно) – поле события с активом, для которого нужно выполнить действия по реагированию. Возможные значения:
    • SourceAssetID.
    • DestinationAssetID.
    • DeviceAssetID.
  • Тип задачи – действие по реагированию, которое требуется выполнить при получении данных, соответствующих фильтру. Доступны следующие типы действий по реагированию:
    • Включить сетевую изоляцию.

      При выборе этого типа реагирования вам нужно задать значения для следующих параметров:

      • Срок действия изоляции – количество часов, в течение которых будет действовать сетевая изоляция актива. Вы можете указать от 1 до 9999 часов.

        При необходимости вы можете добавить исключение для сетевой изоляции.

        Чтобы добавить исключение для сетевой изоляции:

        1. Нажмите на кнопку Добавить исключение.
        2. Выберите направление сетевого трафика, которое не должно быть заблокировано:
          • Входящее.
          • Исходящее.
          • Входящее/Исходящее.
        3. В поле IP актива введите IP-адрес актива, сетевой трафик которого не должен быть заблокирован.
        4. Если вы выбрали Входящее или Исходящее, укажите порты подключения в полях Удаленные порты и Локальные порты.
        5. Если вы хотите добавить более одного исключения, нажмите на кнопку Добавить исключение и повторите действия по заполнению полей Направление трафика, IP актива, Удаленные порты и Локальные порты.
        6. Если вы хотите удалить исключение, нажмите на кнопку Удалить под нужным вам исключением.

        При добавлении исключений в правило сетей изоляции Kaspersky Endpoint Detection and Response может некорректно отображать значения портов в информации о правиле. Это не влияет на работоспособность программы. Подробнее о просмотре правила сетевой изоляции см. в справке Kaspersky Anti Targeted Attack Platform.

    • Выключить сетевую изоляцию.
    • Добавить правило запрета.

      При выборе этого типа реагирования вам нужно задать значения для следующих параметров:

      • Поля события для получения хеш-суммы – поля событий, из которых KUMA извлекает SHA256- или MD5-хеши файлов, запуск которых требуется запретить.

        Выбранные поля событий, а также значения, выбранные в Поле события, требуется добавить в наследуемые поля правила корреляции.

      • Хеш файла №1 – SHA256- или MD5-хеш файла, который требуется запретить.

      Хотя бы одно из указанных выше полей должно быть заполнено.

    • Удалить правило запрета.
    • Запустить программу.

      При выборе этого типа реагирования вам нужно задать значения для следующих параметров:

      • Путь к файлу – путь к файлу процесса, который вы хотите запустить.
      • Аргументы командной строки – параметры, с которыми вы хотите запустить файл.
      • Текущая директория – директория, в которой на момент запуска располагается файл.

      При срабатывании правила реагирования для пользователей с ролью главный администратор в разделе Диспетчер задач веб-интерфейса программы отобразится задача Запустить программу. В столбце Создал таблицы задач для этой задачи отображается Задача по расписанию. Вы можете просмотреть результат выполнения задачи.

      Все перечисленные операции выполняются на активах с Kaspersky Endpoint Agent для Windows. На активах с Kaspersky Endpoint Agent для Linux выполняется только запуск программы.

      На программном уровне возможность создания правил запрета и сетевой изоляции для активов с Kaspersky Endpoint Agent для Linux не ограничена. KUMA и Kaspersky Endpoint Detection and Response не уведомляют о неуспешном применении этих правил.

  • Рабочие процессы – количество процессов, которые сервис может запускать одновременно.

    По умолчанию количество рабочих процессов соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

  • Описание – вы можете добавить до 4000 символов Юникода, описывающих ресурс.
  • Фильтр – используется для определения условий, при соответствии которым события будут обрабатываться ресурсом правила реагирования. В раскрывающемся списке можно выбрать существующий ресурс фильтра или создать новый фильтр.
    1. В раскрывающемся списке Фильтр выберите Создать.
    2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр.

      В этом случае вы сможете использовать созданный фильтр в разных сервисах.

      По умолчанию флажок снят.

    3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Название должно содержать от 1 до 128 символов Юникода.
    4. В блоке параметров Условия задайте условия, которым должны соответствовать события:
      1. Нажмите на кнопку Добавить условие.
      2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска.

        В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров, с помощью которых вам нужно определить значение, которое будет передано в фильтр. Например, при выборе варианта активный лист потребуется указать название активного листа, ключ записи и поле ключа записи.

      3. В раскрывающемся списке оператор выберите нужный вам оператор.

        Операторы фильтров

        • = – левый операнд равен правому операнду.
        • < – левый операнд меньше правого операнда.
        • <= – левый операнд меньше или равен правому операнду.
        • > – левый операнд больше правого операнда.
        • >= – левый операнд больше или равен правому операнду.
        • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
        • contains – левый операнд содержит значения правого операнда.
        • startsWith – левый операнд начинается с одного из значений правого операнда.
        • endsWith – левый операнд заканчивается одним из значений правого операнда.
        • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
        • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).
        • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.
        • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
        • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
        • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
        • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
        • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      4. При необходимости установите флажок без учета регистра. В этом случае оператор игнорирует регистр значений.

        Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup.

        По умолчанию флажок снят.

      5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.
      6. Вы можете добавить несколько условий или группу условий.
    5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
    6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр.

      Параметры вложенного фильтра можно просмотреть, нажав на кнопку edit-grey.

В начало
[Topic 237454]