Шаг 12. Реагирование на инцидент

Вы можете выполнить следующие действия по реагированию:

  1. Выполнить сетевую изоляцию актива.
  2. Запустить антивирусную проверку.
  3. Запретить запуск файла на активах.

    Перечисленные действия доступны при интеграции KUMA с Kaspersky Security Center и Kaspersky Endpoint Detection and Response.

    Пример

    У аналитика есть информация о связанных с инцидентом активах и об индикаторах компрометации, которая поможет в выборе действий по реагированию.

    В рамках рассмотренного инцидента рекомендуется выполнить следующие действия:

    • Запустить внеплановую антивирусную проверку актива, на котором был добавлен файл в автозапуск.

      Задача антивирусной проверки запускается через Kaspersky Security Center.

    • Изолировать актив от сети на время антивирусной проверки.

      Изоляция актива выполняется с помощью Kaspersky Endpoint Detection and Response.

    • Поместить файл ChromeUpdate.bat в карантин и создать правила запрета на запуск этого файла на других активах организации.

      Правило запрета на запуск файла создается с помощью Kaspersky Endpoint Detection and Response.

В начало