Правила реагирования с EDR-действиями

Начиная с версии KUMA 3.4.1 и Kaspersky Endpoint Security для Windows 12.9 добавлена поддержка EDR-действий при реагировании на угрозы. При получении корреляционных событий KUMA будет выполнять EDR-действия. Для выполнения EDR-действий вам нужно предварительно настроить правила реагирования. В свойствах правил реагирования следует задать аргументы скриптов, которые доступны для скачивания по следующей ссылке:

https://box.kaspersky.com/d/579c0271a38e440b9144/

При срабатывании правила реагирования Kaspersky Endpoint Security выполняет EDR-действия и создает в Kaspersky Security Center следующие задачи:

• onDemandScan.py – проверка важных областей.
• ioCScan.py – поиск индикаторов компрометации.
• quarantineFile.py – помещение файла на карантин.
• deleteFile.py – удаление файла.
• getFile.py – получение файла.
• isolateHost.py – сетевая изоляция компьютера.
• preventExecution.py – запрет запуска объектов.

  Для выполнения этой задачи важно убедиться, что в Kaspersky Security Center в разделе Активы (Устройства) → Политики и профили политик → <название политики Kaspersky Endpoint Security> → Параметры приложения → Detection and Response → Endpoint Detection and Response переключатель Запрет запуска ВЫКЛЮЧЕН находится в неактивном положении.

• startProcess.py – запуск процесса.
• terminateProcess.py – завершение процесса.

При настройке правил реагирования с EDR-действиями мы рекомендуем учитывать нагрузку на компьютер при запуске задач. Если в результате работы правил реагирования скрипты создадут слишком много задач, производительность компьютера может снизиться. Если запросов будет слишком много, будет выполняться ротация запросов независимо от того, был ли выполнен запрос. Kaspersky Endpoint Security позволяет создавать не более 100 задач. При достижении этого ограничения Kaspersky Endpoint Security выполняет ротацию задач в Kaspersky Security Center. Срок жизни задачи составляет 30 дней.

Задачи, создаваемые при выполнении правил реагирования из KUMA, отображаются в Kaspersky Endpoint Security того хоста, на котором запущено правило реагирования. В Kaspersky Security Center эти задачи не отображаются.

Информацию о выполнении EDR-действий вы можете посмотреть в Консоли администрирования Kaspersky Security Center с помощью отчетов. Kaspersky Endpoint Security формирует события с описанием в формате '[Response][kuma] $<script name> - $<date>';. Описание в таком формате позволяет создавать выборки событий для EDR-действий.

В начало