Kaspersky Symphony XDR: Single Management Platform
- Kaspersky Symphony XDR
- Справка Kaspersky Symphony XDR: Single Management Platform
- Что нового
- О Kaspersky SMP
- Архитектура Kaspersky SMP
- Лицензирование
- О предоставлении данных
- Начало работы
- Развертывание Kaspersky SMP
- Руководство по усилению защиты
- Схема развертывания: Распределенное развертывание
- Схема развертывания: развертывание на одном узле
- Порты, используемые Kaspersky SMP
- Подготовительные работы и развертывание
- Подготовка устройства администратора и целевых устройств
- Подготовка устройств к установке сервисов KUMA
- Установка системы управления базами данных
- Настройка сервера PostgreSQL или Postgres Pro для работы с Kaspersky SMP
- Подготовка файла инвентаря KUMA
- Распределенное развертывание: Указание параметров установки
- Распределенное развертывание: Установка Kaspersky SMP
- Развертывание на одном узле: Указание параметров установки
- Развертывание на одном узле: Установка Kaspersky SMP
- Настройка мастера развертывания Kaspersky SMP
- Настройка доступа в интернет целевых устройств
- Требования к установке сервисов KUMA
- Синхронизация времени на машинах
- Установка сервисов KUMA
- Развертывание нескольких кластеров Kubernetes и экземпляров Kaspersky SMP
- Вход в Kaspersky SMP
- Обслуживание Kaspersky SMP
- Обновление компонентов Kaspersky SMP
- Контроль версий конфигурационного файла
- Удаление компонентов Kaspersky SMP и веб-плагинов управления
- Переустановка Kaspersky SMP после неудачной установки
- Остановка узлов кластера Kubernetes
- Использование сертификатов для публичных служб Kaspersky SMP
- Расчет и изменение дискового пространства для хранения данных Сервера администрирования
- Ротация секретов
- Добавление устройств для установки дополнительных сервисов KUMA
- Замена устройства, использующего хранилище KUMA
- Настройка модели статусов инцидентов
- Перенос данных в Kaspersky SMP
- Интеграция с другими решениями
- Обнаружение угроз
- Работа с алертами
- Работа с инцидентами
- Поиск угроз
- Реагирование на угрозы
- Действия по реагированию
- Прерывание процессов
- Перемещение устройств в другую группу администрирования
- Запуск поиска вредоносного ПО
- Обновление баз
- Перемещение файлов на карантин
- Изменение статуса авторизации устройств
- Просмотр информации о пользователях KASAP и изменении учебных групп
- Реагирование с помощью Active Directory
- Действия по реагированию с помощью KATA/KEDR
- Действия по реагированию с помощью UserGate
- Ответ с помощью Ideco NGFW
- Действия по реагированию с помощью Redmine
- Просмотр истории реагирования из деталей алерта или инцидента
- Плейбуки
- Просмотр таблицы плейбуков
- Создание плейбуков
- Изменение плейбуков
- Настройка плейбуков
- Просмотр свойств плейбука
- Прерывание работы плейбуков
- Удаление плейбуков
- Запуск плейбуков и действий по реагированию
- Настройка ручного подтверждения действий по реагированию
- Подтверждение плейбуков или действий по реагированию
- Обогащение из плейбуков
- Просмотр истории реагирования
- Предустановленные плейбуки
- Срабатывание плейбука
- Алгоритм плейбука
- Действия по реагированию
- REST API
- Создание токена
- Авторизация запросов API
- API-операции
- Просмотр списка алертов
- Просмотр списка инцидентов
- Просмотр списка тенантов
- Закрытие алертов
- Закрытие инцидентов
- Просмотр списка активных листов на корреляторе
- Импорт записей в активный лист
- Поиск активов
- Импорт активов
- Удаление активов
- Поиск событий
- Просмотр информации о кластере
- Поиск ресурсов
- Загрузка файла с ресурсами
- Просмотр содержимого файла с ресурсами
- Импорт ресурсов
- Экспорт ресурсов
- Скачивание файла с ресурсами
- Поиск служб
- Просмотр информации о предъявителе токена
- Обновление словаря в сервисах
- Получение словаря
- Просмотр пользовательских полей активов
- Создание резервной копии данных
- Восстановление Ядра KUMA из резервной копии
- Просмотр списка контекстных таблиц в корреляторе
- Импорт записей в контекстную таблицу
- Экспорт записей из контекстной таблицы
- Управление Kaspersky Unified Monitoring and Analysis Platform
- О программе Kaspersky Unified Monitoring and Analysis Platform
- Архитектура программы
- Руководство администратора
- Вход в Консоль KUMA
- Сервисы KUMA
- Инструменты сервисов
- Наборы ресурсов для сервисов
- Создание хранилища
- Создание коррелятора
- Создание коллектора
- Создание агента
- Настройка источников событий
- Настройка получения событий Auditd
- Настройка получения событий KATA/EDR
- Настройка получения событий Kaspersky Security Center в формате CEF
- Настройка получения событий Kaspersky Security Center из MS SQL
- Настройка получения событий с устройств Windows с помощью Агента KUMA (WEC)
- Настройка аудита событий с устройств Windows
- Настройка централизованного получения событий с устройств Windows с помощью службы Windows Event Collector
- Предоставление прав для просмотра событий Windows
- Предоставление прав входа в качестве службы
- Настройка коллектора KUMA для получения событий с устройств Windows
- Установка коллектора KUMA для получения событий с устройств Windows
- Настройка передачи в KUMA событий с устройств Windows с помощью Агента KUMA (WEC)
- Настройка получения событий с устройств Windows с помощью Агента KUMA (WMI)
- Настройка получения событий PostgreSQL
- Настройка получения событий ИВК Кольчуга-К
- Настройка получения событий КриптоПро NGate
- Настройка получения событий Ideco UTM
- Настройка получения событий KWTS
- Настройка получения событий KLMS
- Настройка получения событий KSMG
- Настройка получения событий PT NAD
- Настройка получения событий c помощью плагина MariaDB Audit Plugin
- Настройка получения событий СУБД Apache Cassandra
- Настройка получения событий FreeIPA
- Настройка получения событий VipNet TIAS
- Настройка получения событий Nextcloud
- Настройка получения событий Snort
- Настройка получения событий Suricata
- Настройка получения событий FreeRADIUS
- Настройка получения событий VMware vCenter
- Настройка получения событий zVirt
- Настройка получения событий Zeek IDS
- Мониторинг источников событий
- Управление активами
- Добавление категории активов
- Настройка таблицы активов
- Поиск активов
- Экспорт данных об активах
- Просмотр информации об активе
- Добавление активов
- Назначение активу категории
- Изменение параметров активов
- Архивирование активов
- Удаление активов
- Обновление программ сторонних производителей и закрытие уязвимостей на активах Kaspersky Security Center
- Перемещение активов в выбранную группу администрирования
- Аудит активов
- Настраиваемые поля активов
- Активы критической информационной инфраструктуры
- Интеграция с другими решениями
- Интеграция с Kaspersky Security Center
- Интеграция с Kaspersky Endpoint Detection and Response
- Интеграция с Kaspersky CyberTrace
- Интеграция с Kaspersky Threat Intelligence Portal
- Подключение по протоколу LDAP
- Включение и выключение LDAP-интеграции
- Добавление тенанта в список тенантов для интеграции с LDAP-сервером
- Создание подключения к LDAP-серверу
- Создание копии подключения к LDAP-серверу
- Изменение подключения к LDAP-серверу
- Изменение частоты обновления данных
- Изменение срока хранения данных
- Запуск задач на обновление данных об учетных записях
- Удаление подключения к LDAP-серверу
- Интеграция с Kaspersky Industrial CyberSecurity for Networks
- Интеграция с Neurodat SIEM IM
- Kaspersky Automated Security Awareness Platform
- Отправка уведомлений в Telegram
- Интеграция с UserGate
- Интеграция с Kaspersky Web Traffic Security
- Интеграция с Kaspersky Secure Mail Gateway
- Импорт информации об активах из RedCheck
- Настройка получения событий Sendmail
- Управление KUMA
- Работа с геоданными
- Руководство пользователя
- Ресурсы KUMA
- Операции с ресурсами
- Точки назначения
- Нормализаторы
- Правила агрегации
- Правила обогащения
- Правила корреляции
- Фильтры
- Активные листы
- Просмотр таблицы активных листов
- Добавление активного листа
- Просмотр параметров активного листа
- Изменение параметров активного листа
- Дублирование параметров активного листа
- Удаление активного листа
- Просмотр записей в активном листе
- Поиск записей в активном листе
- Добавление записи в активный лист
- Дублирование записей в активном листе
- Изменение записи в активном листе
- Удаление записей в активном листе
- Импорт данных в активный лист
- Экспорт данных из активного листа
- Предустановленные активные листы
- Словари
- Правила реагирования
- Коннекторы
- Просмотр параметров коннектора
- Добавление коннектора
- Параметры коннекторов
- Секреты
- Контекстные таблицы
- Просмотр списка контекстных таблиц
- Добавление контекстной таблицы
- Просмотр параметров контекстной таблицы
- Изменение параметров контекстной таблицы
- Дублирование параметров контекстной таблицы
- Удаление контекстной таблицы
- Просмотр записей контекстной таблицы
- Поиск записей в контекстной таблице
- Добавление записи в контекстную таблицу
- Изменение записи в контекстной таблице
- Удаление записи из контекстной таблицы
- Импорт данных в контекстную таблицу
- Аналитика
- Ресурсы KUMA
- Работа с Kaspersky SMP
- Основные понятия
- Сервер администрирования
- Иерархия Серверов администрирования
- Виртуальный Сервер администрирования
- Веб-сервер
- Агент администрирования
- Группы администрирования
- Управляемое устройство
- Нераспределенное устройство
- Рабочее место администратора
- Веб-плагин управления
- Политики
- Профили политик
- Задачи
- Область действия задачи
- Взаимосвязь политики и локальных параметров программы
- Точка распространения
- Шлюз соединения
- Настройка Сервера администрирования
- Настройка подключения Консоли Kaspersky SMP к Серверу администрирования
- Настройка параметров доступа к интернету
- Сертификаты для работы с Kaspersky SMP
- О сертификатах Kaspersky Security Center
- Требования к пользовательским сертификатам, используемым в Kaspersky SMP
- Перевыпуск сертификата для Kaspersky Security Center Web Console
- Замена сертификата для Консоли Kaspersky SMP
- Преобразование сертификата из формата PFX в формат PEM
- Сценарий: задание пользовательского сертификата Сервера администрирования
- Замена сертификата Сервера администрирования с помощью утилиты klsetsrvcert
- Подключение Агентов администрирования к Серверу администрирования с помощью утилиты klmover
- Иерархия Серверов администрирования
- Создание иерархии Серверов администрирования: добавление подчиненного Сервера администрирования
- Просмотр списка подчиненных Серверов администрирования
- Управление виртуальными Серверами администрирования
- Просмотр журнала подключений к Серверу администрирования
- Настройка количества событий в хранилище событий
- Изменение учетных данных СУБД
- Резервное копирование и восстановление данных Сервера администрирования
- Удаление иерархии Серверов администрирования
- Доступ к общедоступным DNS-серверам
- Настройка интерфейса
- Шифрование подключения TLS
- Обнаружение устройств в сети
- Управление клиентскими устройствами
- Параметры управляемого устройства
- Создание групп администрирования
- Правила перемещения устройств
- Добавление устройств в состав группы администрирования вручную
- Перемещение устройств или кластеров в состав группы администрирования вручную
- О кластерах и массивах серверов
- Свойства кластеров или массивов серверов
- Настройка точек распространения и шлюзов соединений
- Типовая конфигурация точек распространения: один офис
- Типовая конфигурация точек распространения: множество небольших удаленных офисов
- Расчет количества и конфигурации точек распространения
- Автоматическое назначение точек распространения
- Назначение точек распространения вручную
- Изменение списка точек распространения для группы администрирования
- Включение push-сервера
- О статусах устройства
- Настройка переключения статусов устройств
- Выборки устройств
- Теги устройств
- О тегах устройств
- Создание тегов устройств
- Изменение тегов устройств
- Удаление тегов устройств
- Просмотр устройств, которым назначен тег
- Просмотр тегов, назначенных устройству
- Назначение тегов устройству вручную
- Удаление назначенного тега с устройства
- Просмотр правил автоматического назначения тегов устройствам
- Изменение правил автоматического назначения тегов устройствам
- Создание правил автоматического назначения тегов устройствам
- Выполнение правил автоматического назначения тегов устройствам
- Удаление правил автоматического назначения тегов с устройств
- Шифрование и защита данных
- Смена Сервера администрирования для клиентских устройств
- Просмотр и настройка действий, когда устройство неактивно
- Развертывание программ "Лаборатории Касперского" с помощью Консоли Kaspersky SMP
- Сценарий: развертывание программ "Лаборатории Касперского"
- Мастер развертывания защиты
- Запуск мастера развертывания защиты
- Шаг 1. Выбор инсталляционного пакета
- Шаг 2. Выбор способа распространения файла ключа или кода активации
- Шаг 3. Выбор версии Агента администрирования
- Шаг 4. Выбор устройств
- Шаг 5. Задание параметров задачи удаленной установки
- Шаг 7. Удаление несовместимых программ перед установкой
- Шаг 8. Перемещение устройств в папку Управляемые устройства
- Шаг 9. Выбор учетных записей для доступа к устройствам
- Шаг 10. Запуск установки
- Загрузка плагинов для программ "Лаборатории Касперского"
- Просмотр списка компонентов, интегрированных в Kaspersky SMP
- Просмотр названий, параметров и пользовательских действий компонентов Kaspersky SMP
- Загрузка и создание инсталляционных пакетов для программ "Лаборатории Касперского"
- Создание пользовательского инсталляционного пакета
- Создание автономного инсталляционного пакета
- Изменение ограничения на размер пользовательского инсталляционного пакета
- Установка Агента администрирования для Linux в тихом режиме (с файлом ответов)
- Подготовка устройства под управлением Astra Linux в режиме замкнутой программной среды к установке Агента администрирования
- Просмотр списка автономных инсталляционных пакетов
- Распространение инсталляционных пакетов на подчиненные Серверы администрирования
- Подготовка устройства с операционной системой Linux и удаленная установка Агента администрирования на устройство с операционной системой Linux
- Установка программ с помощью задачи удаленной установки
- Указание параметров удаленной установки на устройствах под управлением Unix
- Замещение программ безопасности сторонних производителей
- Удаленная деинсталляция программ или обновлений программного обеспечения
- Подготовка устройства под управлением SUSE Linux Enterprise Server 15 к установке Агента администрирования
- Подготовка устройства под управлением Windows к удаленной установке. Утилита riprep
- Настройка защиты сети
- Сценарий: настройка защиты сети
- Подходы к управлению безопасностью, ориентированные на устройства и на пользователей
- Настройка и распространение политик: подход, ориентированный на устройства
- Настройка и распространение политик: подход, ориентированный на пользователя
- Политики и профили политик
- О политиках и профилях политик
- Блокировка (замок) и заблокированные параметры
- Наследование политик и профилей политик
- Управление политиками
- Просмотр списка политик
- Создание политики
- Общие параметры политик
- Изменение политики
- Включение и отключение параметра наследования политики
- Копирование политики
- Перемещение политики
- Экспорт политики
- Импорт политики
- Принудительная синхронизация
- Просмотр диаграммы состояния применения политики
- Удаление политики
- Управление профилями политик
- Параметры политики Агента администрирования
- Использование Агента администрирования для Windows, macOS и Linux: сравнение
- Сравнение параметров политики Агента администрирования по операционным системам
- Ручная настройка политики Kaspersky Endpoint Security
- Настройка Kaspersky Security Network
- Проверка списка сетей, которые защищает сетевой экран
- Выключение проверки сетевых устройств
- Исключение сведений о программном обеспечении из памяти Сервера администрирования
- Настройка доступа к интерфейсу Kaspersky Endpoint Security для Windows на рабочих станциях
- Сохранение важных событий политики в базе данных Сервера администрирования
- Ручная настройка групповой задачи обновления Kaspersky Endpoint Security
- Kaspersky Security Network (KSN)
- Задачи
- О задачах
- Область задачи
- Создание задачи
- Запуск задачи вручную
- Запуск задачи для выбранных устройств.
- Просмотр списка задач
- Общие параметры задач
- Экспорт задачи
- Импорт задачи
- Запуск мастера изменения паролей задач
- Просмотр результатов выполнения задач, хранящихся на Сервере администрирования
- Ручная настройка групповой задачи проверки устройства Kaspersky Endpoint Security
- Общие параметры задач
- Теги программ
- Предоставление автономного доступа к внешнему устройству, заблокированному компонентом Контроль устройств
- Регистрация программы Kaspersky Industrial CyberSecurity for Networks в Консоли Kaspersky SMP
- Пользователи и роли пользователей
- Об учетных записях пользователей
- О ролях пользователей
- Настройка прав доступа к функциям программы Управление доступом на основе ролей
- Добавление учетной записи внутреннего пользователя
- Создание группы безопасности
- Изменение учетной записи внутреннего пользователя
- Изменение группы безопасности
- Назначение роли пользователю или группе безопасности
- Добавление учетных записей пользователей во внутреннюю группу безопасности
- Назначение пользователя владельцем устройства
- Двухэтапная проверка
- Сценарий: настройка двухэтапной проверки для всех пользователей
- О двухэтапной проверке
- Включение двухэтапной проверки для вашей учетной записи
- Включение обязательной двухэтапной проверки для всех пользователей
- Выключение двухэтапной проверки для учетной записи пользователя
- Выключение обязательной двухэтапной проверки для всех пользователей
- Исключение учетных записей из двухэтапной проверки.
- Настройка двухэтапной проверки для вашей учетной записи
- Запретить новым пользователям настраивать для себя двухэтапную проверку
- Генерация нового секретного ключа
- Изменение имени издателя кода безопасности
- Изменение количества попыток ввода пароля
- Удаление пользователей или групп безопасности
- Создание роли пользователя
- Изменение роли пользователя
- Изменение области для роли пользователя
- Удаление роли пользователя
- Связь профилей политики с ролями
- Обновление баз и программ "Лаборатории Касперского"
- Сценарий: регулярное обновление баз и программ "Лаборатории Касперского"
- Об обновлении баз, программных модулей и программ "Лаборатории Касперского"
- Создание задачи Загрузка обновлений в хранилище Сервера администрирования
- Просмотр полученных обновлений
- Проверка полученных обновлений
- Создание задачи загрузки обновлений в хранилища точек распространения
- Добавление источников обновлений для задачи Загрузка обновлений в хранилище Сервера администрирования
- Об использовании файлов различий для обновления баз и программных модулей "Лаборатории Касперского"
- Включение функции загрузки файлов различий
- Загрузка обновлений точками распространения
- Обновление баз и программных модулей "Лаборатории Касперского" на автономных устройствах
- Удаленная диагностика клиентских устройств
- Открытие окна удаленной диагностики
- Включение и выключение трассировки для программ
- Загрузка файла трассировки программы
- Удаление файлов трассировки
- Загрузка параметров программ
- Загрузка системной информации с клиентского устройства
- Загрузка журналов событий
- Запуск, остановка и перезапуск программы
- Запуск удаленной диагностики Агента администрирования Kaspersky Single Management Platform и скачивание результатов
- Запуск программы на клиентском устройстве
- Создание файла дампа для программы
- Запуск удаленной диагностики на клиентском устройстве с операционной системой Linux
- Управление программами сторонних производителей на клиентских устройствах
- Сценарий: управление программами
- О Контроле программ
- Получение и просмотр списка программ, установленных на клиентских устройствах
- Получение и просмотр списка исполняемых файлов, хранящихся на клиентских устройствах
- Создание пополняемой вручную категории программ
- Создание категории программ, в которую входят исполняемые файлы с выбранных устройств
- Создание категории программ, в которую входят исполняемые файлы из выбранных папок
- Просмотр списка категорий программ
- Настройка компонента Контроль программ в политике Kaspersky Endpoint Security для Windows
- Добавление исполняемых файлов, связанных с событием, в категорию программы
- Интерфейс Консоли Kaspersky SMP
- Изменение языка интерфейса Консоли Kaspersky SMP
- О лицензии
- Справочное руководство API
- Основные понятия
- Мониторинг и отчеты
- Сценарий: мониторинг и отчеты
- О типах мониторинга и отчетах
- Срабатывание правил в режиме Интеллектуального обучения
- Панель мониторинга и веб-виджеты
- Использование панели мониторинга
- Веб-виджеты администрирования и защиты
- Веб-виджеты обнаружения и реагирования
- Создание веб-виджета
- Изменение веб-виджета
- Удаление веб-виджета
- Создание макета панели мониторинга
- Выбор макета панели мониторинга
- Выбор макета панели мониторинга по умолчанию
- Изменение макета панели мониторинга
- Удаление макета панели мониторинга
- Включение и отключение режима ТВ
- Преднастроенные макеты панели мониторинга
- О режиме Просмотра только панели мониторинга
- Настройка режима Просмотра только панели мониторинга
- Использование панели мониторинга
- Отчеты
- События и выборки событий
- О событиях в Kaspersky SMP
- События компонентов Kaspersky SMP
- Использование выборок событий
- Создание выборки событий
- Изменение выборки событий
- Просмотр списка выборки событий
- Экспорт выборки событий
- Импорт выборки событий
- Просмотр информации о событии
- Экспорт событий в файл
- Просмотр истории объекта из события
- Удаление событий
- Удаление выборок событий
- Настройка срока хранения события
- Блокировка частых событий
- Обработка и хранение событий на Сервере администрирования
- Уведомления и статусы устройств
- Объявления "Лаборатории Касперского"
- Экспорт событий в SIEM-системы
- Сценарий: настройка экспорта событий в SIEM-системы
- Предварительные условия
- Об экспорте событий
- О настройке экспорта событий в SIEM-системе
- Выбор событий для экспорта в SIEM-системы в формате Syslog
- Об экспорте событий в формате Syslog
- Настройка Kaspersky SMP для экспорта событий в SIEM-систему
- Экспорт событий напрямую из базы данных
- Просмотр результатов экспорта
- Работа с ревизиями объектов
- Откат изменений объекта к предыдущей ревизии
- Удаление объектов
- Загрузка и удаление файлов из Карантина и Резервного хранилища
- Операции по диагностике компонентов Kaspersky SMP
- Мультитенантность
- Обращение в Службу технической поддержки
- Список ограничений
- Приложения
- Команды для запуска и установки компонентов вручную
- Проверка целостности файлов KUMA
- Модель данных нормализованного события
- Настройка модели данных нормализованного события из KATA EDR
- Модель данных актива
- Модель данных учетной записи
- События аудита KUMA
- Поля событий с общей информацией
- Пользователь успешно вошел в систему или не смог войти
- Пользователь успешно вышел из системы
- Сервис успешно создан
- Сервис успешно удален
- Сервис успешно запущен
- Сервис успешно сопряжен
- Сервис успешно перезагружен
- Сервис успешно перезапущен
- Раздел хранилища автоматически удален в связи с истечением срока действия
- Раздел хранилища удален пользователем
- Активный лист успешно очищен или операция завершилась с ошибкой
- Элемент активного листа успешно изменен или операция завершилась с ошибкой
- Элемент активного листа успешно удален или операция завершилась с ошибкой
- Активный лист успешно импортирован или операция завершилась с ошибкой
- Активный лист успешно экспортирован
- Ресурс успешно добавлен
- Ресурс успешно удален
- Ресурс успешно обновлен
- Актив успешно создан
- Актив успешно удален
- Категория актива успешно добавлена
- Категория актива успешно удалена
- Параметры успешно обновлены
- Словарь успешно обновлен на сервисе или операция завершилась ошибкой
- Ответ в Active Directory
- Реагирование через KICS for Networks
- Реагирование через Kaspersky Automated Security Awareness Platform
- KEDR response
- Правила корреляции
- Формат времени
- Сопоставление полей предустановленных нормализаторов
- Глоссарий
- Bootstrap
- Kaspersky Deployment Toolkit
- Агент
- Актив
- Алгоритм плейбука
- Алерт
- Граф расследования
- Действия по реагированию
- Дистрибутив
- Инцидент
- Кластер Kubernetes
- Коллектор
- Контекст
- Конфигурационный файл
- Коррелятор
- Мультитенантность
- Наблюдаемые объекты
- Нормализованное событие
- Плейбук
- Пользовательские действия
- Правила сегментации
- Правило корреляции
- Реестр
- Сервисы KUMA
- Событие
- Тенант
- Транспортный архив
- Узел
- Устройство администратора
- Файл инвентаря KUMA
- Хранилище
- Целевые устройства
- Цепочка развития угрозы
- Информация о стороннем коде
- Уведомления о товарных знаках
Реагирование на угрозы > Действия по реагированию > Действия по реагированию с помощью KATA/KEDR
Действия по реагированию с помощью KATA/KEDR
Действия по реагированию с помощью KATA/KEDR
После настройки интеграции Kaspersky SMP и Kaspersky Anti Targeted Attack Platform вы можете выполнять действия по реагированию на устройстве или с хешом файла одним из следующих способов:
- из деталей алерта или инцидента;
- в свойствах устройства;
- в сведениях о событии.
Этот параметр доступен для действия по реагированию Добавить правило запрета.
- из графа расследования.
Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.
Чтобы выполнить действия по реагированию с помощью Kaspersky Anti Targeted Attack Platform, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.
Выполнение действия по реагированию из деталей алерта или инцидента
Чтобы выполнить действия по реагированию из деталей алерта или инцидента:
- Выполните одно из следующих действий:
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
- В открывшемся окне выберите вкладку Активы.
- Установите флажок рядом с требуемым устройством.
При необходимости вы можете выбрать несколько устройств.
- В раскрывающемся списке Выбрать действия по реагированию выберите действие, которое вы хотите выполнить:
- Включить сетевую изоляцию
Если вы выберете это действие по реагированию для устройства, на котором уже включена сетевая изоляция, параметры будут перезаписаны новыми значениями.
После выбора этого действия по реагированию необходимо настроить нужные параметры в окне, открывающемся в правой части экрана.
- Выключить сетевую изоляцию
Вы можете выбрать это действие по реагированию для устройств, на которых включена сетевая изоляция.
- Запустить исполняемый файл
Исполняемый файл всегда запускается от имени системы и должен быть доступен на устройстве до начала действия по реагированию.
После выбора этого действия по реагированию необходимо настроить нужные параметры в окне, открывающемся в правой части экрана.
- Добавить правило запрета
После выбора этого действия по реагированию необходимо настроить нужные параметры в окне, открывающемся в правой части экрана.
- Удалить правило запрета
Вы можете выбрать это действие по реагированию для устройств, на которых было применено правило запрета.
Все перечисленные действия по реагированию доступны на устройствах, использующих Kaspersky Endpoint Agent для Windows или Kaspersky Endpoint Security для Windows в роли компонента Endpoint Agent. На устройствах с Kaspersky Endpoint Agent для Linux и Kaspersky Endpoint Security для Linux единственным доступным действием по реагированию является Запустить исполняемый файл.
- Включить сетевую изоляцию
- В открывшемся окне задайте необходимые параметры действия по реагированию, выбранного на шаге 4:
- Для сетевой изоляции
- Укажите период изоляции устройства и единицы измерения.
- Если вы хотите добавить исключение из правила сетевой изоляции, нажмите на кнопку Добавить исключение и заполните следующие поля:
- Направление сетевого трафика.
Вы можете выбрать одно из значений:
- Входящий
При выборе этого направления необходимо указать диапазон локальных портов в полях Начальный порт и Конечный порт.
- Исходящий
Если вы выбрали это направление, вам нужно указать диапазон удаленных портов в полях Начальный порт и Конечный порт.
- Входящий/Исходящий
Если вы выберете это направление, вы не сможете указать диапазон портов.
- Входящий
- IP-адрес актива.
- Направление сетевого трафика.
- Нажмите на кнопку Включить.
Окно закрыто.
- Для запуска исполняемого файла.
- Заполните следующие поля:
- Путь к исполняемому файлу
- Параметры командной строки
- Рабочая директория
- Нажмите на кнопку Запустить.
Окно закрыто.
- Заполните следующие поля:
- Для добавления правила запрета
- Укажите хеш файла, который вы хотите заблокировать:
- SHA256
- MD5
Если вы хотите указать более одного хеша, нажмите на кнопку Добавить хеш.
- Нажмите на кнопку Добавить.
Окно закрыто.
- Укажите хеш файла, который вы хотите заблокировать:
- Для удаления правила запрета
- Выберите правило, которое вы хотите удалить:
- Если вы хотите удалить все правила запрета, выберите Удалить все.
- Если вы хотите удалить правило запрета по хешу файла, в поле Хеш файла укажите хеш файла, который нужно удалить.
Если вы хотите указать более одного хеша, нажмите на кнопку Добавить хеш.
- Нажмите на кнопку Удалить.
Окно закрыто.
- Выберите правило, которое вы хотите удалить:
- Для сетевой изоляции
Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.
Выполнение действий по реагированию из сведений об устройстве
Чтобы выполнить действия по реагированию из сведений об устройстве:
- Выполните одно из следующих действий:
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
- В открывшемся окне выберите вкладку Активы.
- Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотр свойств.
- Выполните те же действия, что описаны в шагах 4–5 в разделе Выполнение действий по реагированию из свойств устройства.
Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.
Выполнение действия по реагированию из сведений о событии
Этот параметр доступен для действия по реагированию Добавить правило запрета.
Чтобы выполнить действия по реагированию из сведений об устройстве:
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
- В открывшемся окне выберите вкладку Подробнее и выберите нужный хеш файла.
- Нажмите на кнопку Добавить правило запрета и выберите устройство, для которого вы хотите добавить правило запрета.
Вы также можете выбрать вкладку Наблюдаемые объекты, установить флажок рядом с хешем файла, который вы хотите заблокировать, и нажать на кнопку Добавить правило запрета.
- Выполните те же действия, что описаны в шагах 4–5 в разделе Выполнение действий по реагированию из свойств устройства.
Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.
Выполнение действий по реагированию из графа расследования
Этот параметр доступен, если граф расследования построен.
Чтобы выполнить действие по реагированию из графа расследования:
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
- В открывшемся окне нажмите на кнопку Посмотреть на графе.
Откроется окно графа расследования.
- Нажмите на имя устройства, чтобы открыть сведения об устройстве.
- Выполните те же действия, что описаны в шагах 4–5 в разделе Выполнение действий по реагированию из свойств устройства.
Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.
Если вы столкнулись с ошибкой при выполнении действий по реагированию, вам нужно убедиться, что имя устройства в Kaspersky SMP такое же, как и в Kaspersky Anti Targeted Attack Platform.
Идентификатор статьи: 264315, Последнее изменение: 8 авг. 2024 г.