Шаг 12. Реагирование на инцидент
Вы можете выполнить следующие действия по реагированию:
- Выполнить сетевую изоляцию актива.
- Запустить антивирусную проверку.
- Запретить запуск файла на активах.
Перечисленные действия доступны при интеграции KUMA с Kaspersky Security Center и Kaspersky Endpoint Detection and Response.
Пример
У аналитика есть информация о связанных с инцидентом активах и об индикаторах компрометации, которая поможет в выборе действий по реагированию.
В рамках рассмотренного инцидента рекомендуется выполнить следующие действия:
- Запустить внеплановую антивирусную проверку актива, на котором был добавлен файл в автозапуск.
Задача антивирусной проверки запускается через Kaspersky Security Center.
- Изолировать актив от сети на время антивирусной проверки.
Изоляция актива выполняется с помощью Kaspersky Endpoint Detection and Response.
- Поместить файл ChromeUpdate.bat в карантин и создать правила запрета на запуск этого файла на других активах организации.
Правило запрета на запуск файла создается с помощью Kaspersky Endpoint Detection and Response.
|
В начало