Kaspersky Anti Targeted Attack (KATA) Platform

Создание задачи сбора форензики

14 мая 2024

ID 247370

Вы можете получить списки файлов, процессов и точек автозапуска с выбранных хостов с компонентом Endpoint Agent. Для этого нужно создать задачу сбора форензики.

Чтобы создать задачу сбора форензики:

  1. В окне веб-интерфейса приложения выберите раздел Задачи.

    Откроется таблица задач.

  2. Нажмите на кнопку Добавить и в раскрывающемся списке Собрать данные выберите Форензика.

    Откроется окно создания задачи.

  3. Задайте значения следующих параметров:
    1. Тип информации – тип собираемых данных. Установите флажок напротив одного, нескольких или всех параметров:
      • Список процессов, если хотите получить список процессов, запущенных на хосте в момент выполнения задачи.
      • Список точек автозапуска, если хотите получить список точек автозапуска.

        В список точек автозапуска включаются данные о приложениях, добавленных в папку автозагрузки или зарегистрированных в разделах реестра Run, а также о приложениях, которые запускаются автоматически при загрузке хоста с компонентом Endpoint Agent и при входе пользователя в систему на указанных хостах.

        Список поддерживаемых точек автозапуска

      • Список файлов, если хотите получить список файлов, хранящихся в выбранной папке или во всех папках хоста в момент выполнения задачи.
    2. Если вы установили флажок Список файлов, в блоке параметров Тип источника выберите один из вариантов:
      • Все локальные диски, если вы хотите, чтобы в список файлов были включены файлы, хранящиеся во всех папках локальных дисков на момент выполнения задачи.
      • Директория, если вы хотите, чтобы в список файлов были включены файлы, хранящиеся в указанной папке и следующих по пути папках диска на момент выполнения задачи.
    3. Если вы выбрали Директория, в поле Начальная директория укажите путь к папке, с которой начнется поиск файлов.

      Вы можете использовать следующие префиксы:

      • Системные переменные окружения.
      • Пользовательские переменные окружения.

        При использовании пользовательских переменных окружения в список файлов будет включена информация о файлах в папках всех пользователей, определивших указанные переменные окружения. Если пользовательские переменные окружения переопределяет системные, в список файлов будет включена информация о файлах в папках по значению системных переменных окружения.

    4. Хосты – IP-адрес или имя хоста, на который хотите назначить задачу.

      Вы можете указать несколько хостов.

      Если в роли компонента Endpoint Agent используется Kaspersky Endpoint Agent, задача получения сбора форензики может быть назначена только на хосты с приложением Kaspersky Endpoint Agent для Windows версии 3.10 и выше. Получение списка точек автозапуска доступно только на хостах с Kaspersky Endpoint Agent для Windows версии 3.12 и выше.

      При необходимости вы можете указать следующие параметры поиска файлов в папках:

      • Маска – маска файлов, которые должны быть включены в список файлов.
      • Альтернативные потоки данных – флажок, включающий запись информации об альтернативных потоках данных в список файлов.

        Если запрашиваемый файл связан с дополнительными потоками данных NTFS, в результате выполнения задачи вы получите все файлы потоков данных NTFS, с которыми связан запрашиваемый файл.

        По умолчанию флажок установлен.

      • Максимальный уровень вложенности – максимальный уровень вложенности папок, в которых приложение будет искать файлы.
      • Исключения – путь к папкам, в которых вы хотите запретить поиск информации о файлах.
      • Описание – описание задачи.
  4. Нажмите на кнопку Добавить.

Задача сбора форензики будет создана. Задача запускается автоматически после создания.

В результате выполнения задачи приложение помещает в Хранилище ZIP-архив, который содержит файл с выбранными данными. Если задача завершилась успешно, вы можете скачать архив на ваш локальный компьютер.

Для пользователей с ролью Аудитор функция создания задачи сбора форензики недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к задачам.

См. также

Работа с задачами

Просмотр таблицы задач

Просмотр информации о задаче

Создание задачи получения файла

Создание задачи получения ключа реестра

Создание задачи получения метафайлов NTFS

Создание задачи получения дампа памяти процесса

Создание задачи получения образа диска

Создание задачи получения дампа оперативной памяти

Создание задачи завершения процесса

Создание задачи проверки хостов с помощью правил YARA

Создание задачи управления службами

Создание задачи выполнения приложения

Создание задачи удаления файла

Создание задачи помещения файла на карантин

Создание задачи восстановления файла из карантина

Создание копии задачи

Удаление задач

Фильтрация задач по времени создания

Фильтрация задач по типу

Фильтрация задач по имени

Фильтрация задач по имени и пути к файлу

Фильтрация задач по описанию

Фильтрация задач по имени сервера

Фильтрация задач по имени пользователя, создавшего задачу

Фильтрация задач по состоянию обработки

Сброс фильтра задач

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!