Типы реагирования на инциденты

Развернуть все | Свернуть все

Аналитики MDR SOC исследуют инциденты и предлагают действия по реагированию, которые вы можете принять или отклонить. Это стандартный способ обработки инцидентов в Kaspersky Managed Detection and Response.

Однако вы можете создавать действия по реагированию вручную, используя функции Kaspersky Endpoint Detection и Response Optimum.

В этой статье описаны только типы действий по реагированию на инциденты, предлагаемые аналитику SOC.

Каждое действие по реагированию может иметь набор параметров, представленных на вкладке Реагирование для инцидента.

Доступные типы действий по реагированию:

• Получить файл

  Копирование файла из вашей инфраструктуры в Kaspersky SOC. Если вы принимаете это действие по реагированию, указанный файл будет скопирован в Kaspersky SOC.

  Обратите внимание, что при этом типе действий могут передаваться файлы, содержащие личные и конфиденциальные данные.

  Допустимые параметры:

  • Путь к зараженному файлу

    Абсолютный путь к файлу. Например, C:\\file.exe.

  • Максимальный размер файла

    Максимальный размер файла в МБ.

    Если размер зараженного файла превышает указанное максимальное значение, выполнить действие по реагированию не удастся, но предлагаемое действие появится на вкладке История для инцидента.

• Изолировать

  Изоляция указанного актива от сети.

  Если нужно срочно отключить сетевую изоляцию, обратитесь в службу технической поддержки или напишите запрос на вкладке Обсуждение инцидента.

  Допустимые параметры:

  • Пароль для отключения изоляции

    Пароль для отключения изоляции. Как только служба технической поддержки получит запрос на отключение сетевой изоляции, вам отправят информацию об использовании пароля.

  • Идентификатор задачи

    Уникальный идентификатор задачи, используемый совместно с Паролем отключения изоляции для отключения сетевой изоляции вручную.

  • Данные пароля

    Вы можете проверить действительность Пароля, сформировав на его основе производный ключ и сравнив полученное значение со значением параметра Производный ключ.

    • Версия

      Цифровая версия правил создания пароля. Версия 1 означает, что для создания производного ключа применяются следующие параметры PBKDF2:

      • Хеш-алгоритм HMACSHA256.
      • 10000 итераций.
      • Длина ключа – 32 байта.
    • Соль

      Соль в шестнадцатеричном формате (HEX) для получения производного ключа с помощью PBKDF2.

    • Производный ключ

      Производный ключ в шестнадцатеричном формате (HEX).

  • Срок изоляции актива

    Время в секундах, по истечении которого изоляция будет отключена автоматически. Если значение времени не указано, применяется значение по умолчанию, равное семи дням. Максимальное значение – 2 678 400 секунд.

  • Правила исключения

    Массив правил для настраиваемых портов, протоколов, IP-адресов и процессов, к которым не применяется изоляция.

    • Направление

      Направление трафика. Возможные значения: Входящий, Исходящий, Оба.

    • Протокол

      Номер протокола согласно спецификации IANA.

      Допустимые значения:

      • 1 (ICMP)
      • 6 (TCP)
      • 17 (UDP)
      • 58 (IPv6-ICMP)
    • Диапазон удаленных портов

      Диапазон удаленных портов, указанный в полях С и По.

    • Удаленный IPv4-адрес

      Удаленный IPv4-адрес или маска подсети.

    • Удаленный IPv6-адрес

      Удаленный IPv6-адрес или маска подсети.

    • Диапазон локальных портов

      Диапазон локальных портов, указанный в полях С и По.

    • Локальный IPv4-адрес

      Локальный IPv4-адрес или маска подсети.

    • Локальный IPv6-адрес

      Локальный IPv6-адрес или маска подсети.

    • Процесс

      Путь к образу процесса, указанный в поле Образ → Путь.

• Отключить изоляцию

  Отключение сетевой изоляции указанного актива.

• Удалить ключ реестра

  Удаление ключа реестра или ветки реестра на указанном активе.

  Допустимые параметры:

  • Ключ

    Абсолютный путь ключа, который начинается с HKEY_LOCAL_MACHINE или HKEY_USERS. Например, HKEY_LOCAL_MACHINE\\SYSTEM\\WebClient.

    Если ключ является символической ссылкой, будет удален только этот ключ, а целевой ключ ссылки останется нетронутым.

  • Значение

    Значение ключа.

    Если этот параметр не указан, ключ будет удален рекурсивно. Во время рекурсивного удаления каждый вложенный ключ, являющийся символической ссылкой, будет удален, а его целевой ключ останется нетронутым.

    Если значение ключа – пустая строка, значение по умолчанию будет удалено.

• Дамп памяти

  Создание дампа памяти и отправка его в Kaspersky SOC.

  Допустимые параметры:

  • Тип дампа

    Дамп памяти может быть одного из двух типов:

    • Полный дамп памяти

      Дамп всей памяти актива.

    • Дамп процесса

      Дамп указанного процесса.

  • Максимальный размер файла

    Максимальный размер файла дампа в формате ZIP в МБ. Значение по умолчанию – 100 МБ.

  • Процесс

    Идентификатор процесса и сведения об образе.

    • Образ
      • Путь

        Абсолютный путь к файлу. Например, %systemroot%\\system32\\svchost.exe.

      • SHA-256

        Контрольная сумма SHA256 в шестнадцатеричном формате (HEX).

      • MD5

        Контрольная сумма MD5 в шестнадцатеричном формате (HEX).

    • Уникальный идентификатор

      Уникальный идентификатор процесса.

  • Ограничение на количество процессов

    Максимальное количество процессов, которые могут содержаться в файле дампа.

• Завершать процесс.

  Прервать процесс на указанном активе с помощью Kaspersky Endpoint Security для Windows. Прервать процесс можно указав его имя или идентификатор процесса (PID).