Действия по реагированию с помощью KATA/KEDR

Развернуть все | Свернуть все

После настройки интеграции Kaspersky SMP и Kaspersky Anti Targeted Attack Platform вы можете выполнять действия по реагированию на устройстве или с хешом файла одним из следующих способов:

• из деталей алерта или инцидента;
• в свойствах устройства;
• в сведениях о событии.

  Этот параметр доступен для действия по реагированию Добавить правило запрета.

• из графа расследования.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы выполнить действия по реагированию с помощью Kaspersky Anti Targeted Attack Platform, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Выполнение действия по реагированию из деталей алерта или инцидента

Чтобы выполнить действия по реагированию из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
   • В главном окне программы перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне выберите вкладку Активы.
3. Установите флажок рядом с требуемым устройством.

   При необходимости вы можете выбрать несколько устройств.

4. В раскрывающемся списке Выбрать действия по реагированию выберите действие, которое вы хотите выполнить:
   • Включить сетевую изоляцию

     Если вы выберете это действие по реагированию для устройства, на котором уже включена сетевая изоляция, параметры будут перезаписаны новыми значениями.

     После выбора этого действия по реагированию необходимо настроить нужные параметры в окне, открывающемся в правой части экрана.

   • Выключить сетевую изоляцию

     Вы можете выбрать это действие по реагированию для устройств, на которых включена сетевая изоляция.

   • Запустить исполняемый файл

     Исполняемый файл всегда запускается от имени системы и должен быть доступен на устройстве до начала действия по реагированию.

     После выбора этого действия по реагированию необходимо настроить нужные параметры в окне, открывающемся в правой части экрана.

   • Добавить правило запрета

     После выбора этого действия по реагированию необходимо настроить нужные параметры в окне, открывающемся в правой части экрана.

   • Удалить правило запрета

     Вы можете выбрать это действие по реагированию для устройств, на которых было применено правило запрета.

   Все перечисленные действия по реагированию доступны на устройствах, использующих Kaspersky Endpoint Agent для Windows или Kaspersky Endpoint Security для Windows в роли компонента Endpoint Agent. На устройствах с Kaspersky Endpoint Agent для Linux и Kaspersky Endpoint Security для Linux единственным доступным действием по реагированию является Запустить исполняемый файл.

5. В открывшемся окне задайте необходимые параметры действия по реагированию, выбранного на шаге 4:
   • Для сетевой изоляции
     1. Укажите период изоляции устройства и единицы измерения.
     2. Если вы хотите добавить исключение из правила сетевой изоляции, нажмите на кнопку Добавить исключение и заполните следующие поля:
        • Направление сетевого трафика.

          Вы можете выбрать одно из значений:

          • Входящий

            При выборе этого направления необходимо указать диапазон локальных портов в полях Начальный порт и Конечный порт.

          • Исходящий

            Если вы выбрали это направление, вам нужно указать диапазон удаленных портов в полях Начальный порт и Конечный порт.

          • Входящий/Исходящий

            Если вы выберете это направление, вы не сможете указать диапазон портов.

        • IP-адрес актива.
     3. Нажмите на кнопку Включить.

        Окно закрыто.

   • Для запуска исполняемого файла.
     1. Заполните следующие поля:
        • Путь к исполняемому файлу
        • Параметры командной строки
        • Рабочая директория
     2. Нажмите на кнопку Запустить.

        Окно закрыто.

   • Для добавления правила запрета
     1. Укажите хеш файла, который вы хотите заблокировать:
        • SHA256
        • MD5

        Если вы хотите указать более одного хеша, нажмите на кнопку Добавить хеш.

     2. Нажмите на кнопку Добавить.

        Окно закрыто.

   • Для удаления правила запрета
     1. Выберите правило, которое вы хотите удалить:
        • Если вы хотите удалить все правила запрета, выберите Удалить все.
        • Если вы хотите удалить правило запрета по хешу файла, в поле Хеш файла укажите хеш файла, который нужно удалить.

          Если вы хотите указать более одного хеша, нажмите на кнопку Добавить хеш.

     2. Нажмите на кнопку Удалить.

        Окно закрыто.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действий по реагированию из сведений об устройстве

Чтобы выполнить действия по реагированию из сведений об устройстве:

1. Выполните одно из следующих действий:
   • В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
   • В главном окне программы перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотр свойств.
4. Выполните те же действия, что описаны в шагах 4–5 в разделе Выполнение действий по реагированию из свойств устройства.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действия по реагированию из сведений о событии

Этот параметр доступен для действия по реагированию Добавить правило запрета.

Чтобы выполнить действия по реагированию из сведений об устройстве:

1. В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
2. В открывшемся окне выберите вкладку Подробнее и выберите нужный хеш файла.
3. Нажмите на кнопку Добавить правило запрета и выберите устройство, для которого вы хотите добавить правило запрета.

   Вы также можете выбрать вкладку Наблюдаемые объекты, установить флажок рядом с хешем файла, который вы хотите заблокировать, и нажать на кнопку Добавить правило запрета.

4. Выполните те же действия, что описаны в шагах 4–5 в разделе Выполнение действий по реагированию из свойств устройства.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действий по реагированию из графа расследования

Этот параметр доступен, если граф расследования построен.

Чтобы выполнить действие по реагированию из графа расследования:

1. В главном окне программы перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне нажмите на кнопку Посмотреть на графе.

   Откроется окно графа расследования.

3. Нажмите на имя устройства, чтобы открыть сведения об устройстве.
4. Выполните те же действия, что описаны в шагах 4–5 в разделе Выполнение действий по реагированию из свойств устройства.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Если вы столкнулись с ошибкой при выполнении действий по реагированию, вам нужно убедиться, что имя устройства в Kaspersky SMP такое же, как и в Kaspersky Anti Targeted Attack Platform.