Действия по реагированию с помощью UserGate
Вы можете реагировать на алерты и инциденты с помощью UserGate, если вы ранее настроили интеграцию Kaspersky SMP со службами запуска скриптов. UserGate включает в себя функции унифицированных решений по управлению угрозами и предоставляет следующие средства защиты вашей локальной сети:
- Сетевой экран.
- Защита от вторжений и атак.
- Антивирусная проверка трафика.
- Контроль программ.
Поддерживается версия UserGate UTM API 7.
Логин и пароль для доступа к UserGate хранятся в скриптах для интеграции с UserGate. Вы можете скачать скрипты, перейдя по этой ссылке.
Для запуска скриптов требуется Python 3.10.
Чтобы выполнить действие по реагированию с помощью UserGate, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.
Чтобы выполнить действие по реагированию с помощью UserGate:
- В главном меню перейдите в раздел Мониторинг и отчеты, а затем в разделе Алерты или Инциденты нажмите на идентификатор нужного алерта или инцидента.
В открывшемся окне вы можете перейти на вкладку Наблюдаемые объекты, чтобы просмотреть IP-адреса, URL-адреса и доменные имена, которые вы можете заблокировать с помощью UserGate.
- Нажмите на кнопку Выбрать плейбук.
В открывшемся окне выберите один из следующих предустановленных плейбуков для реагирования с помощью UserGate:
- Заблокировать устройство с помощью UserGate
Если вы выберете этот плейбук, UserGate заблокирует IP-адреса, URL-адреса и доменные имена в результате запуска плейбука.
UserGate использует IP-адреса, URL-адреса и доменные имена, которые отображаются на вкладке Наблюдаемые объекты.
- Выход пользователей
Если вы выберете этот плейбук, все пользователи, вошедшие в UserGate, будут отключены в результате запуска плейбука.
- Заблокировать устройство с помощью UserGate
- Нажмите на кнопку Запустить.
Выбранный плейбук запускает скрипт для интеграции с UserGate.
Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.
Результат запуска плейбука доступен в деталях алерта или инцидента на вкладке История.