Параметры ResponseFunction

Поддержка

Поддержка приложений для бизнеса

Kaspersky Symphony XDR: SMP

Реагирование на угрозы

Плейбуки

Алгоритм плейбука

Параметры ResponseFunction

15 мая 2024

ID 270357

Скачать PDF

Идентификатор параметра	Описание
`responseAction`	Название действия по реагированию.
`params`	Параметр позволяет описать параметры действия по реагированию, которое вы хотите запустить. Вы можете указать параметр как выражение jq или как объект. Параметры действий по реагированию описаны в таблице ниже.
`assets`	Параметр позволяет использовать выражение jq или массив строк, чтобы указать список активов, для которых вы хотите запустить действие по реагированию. Параметр `assets` необходим для действий по реагированию с активами и не применим для действий по реагированию без активов.

Параметры действий по реагированию

Название действия по реагированию	Параметры
`updateBases`	Действием по реагированию является обновление баз. Возможные параметры: `wait`. Возможные значения: `true` `false` Чтобы запустить это действие по реагированию, вам необходимо указать параметр `asset` для функции реагирования.
`avScan`	Действием по реагированию является поиск вредоносного ПО. Возможные параметры: `wait`. Возможные значения: `true` `false` `scope`. Возможные значения: `full` – выполнить полную проверку устройства, на котором обнаружен алерт. `critical` – выполнить проверку памяти ядра, запущенных процессов и загрузочных секторов жесткого диска. `selective` – выполнить проверку указанных файлов. Чтобы указать путь к файлам, используйте параметр `path`. `allowScanNetworkDrives`. Возможные значения: `true` `false` По умолчанию значение равно `false`. Этот параметр доступен только, если вы хотите выполнить полную проверку. Обратите внимание, что проверка сетевых дисков может привести к перегрузке системы. `path` – выражение jq или строка с путем к файлам, которые вы хотите проверить. Также вы можете указать несколько путей к файлам. Чтобы запустить это действие по реагированию, вам необходимо указать параметр `asset` для функции реагирования.
`moveHostsToAdministrationGroup`	Действием по реагированию является перемещение в группу. Возможные параметры: `group` – путь к группе администрирования Kaspersky SMP. Например, `HQ/OrgUnit1`.
`quarantineFile`	Действием по реагированию является перемещение на карантин. Возможные параметры: `path` – путь к файлу, который нужно поместить на карантин. `md5` – MD5-хеш файла. `sha256` – SHA256-хеш файла. Вы можете указать параметры действия по реагированию одним из следующих способов: Укажите полный путь к файлу, который вы хотите поместить на карантин. В этом случае вам не нужно указывать хеш MD5 или хеш SHA256. Укажите путь к файлу и хеш файла (MD5 или SHA256).
`killProcess`	Действием по реагированию является прерывание процесса. Возможные параметры: `pid` – идентификатор процесса. `path` – путь к файлу, который нужно поместить на карантин. `md5` – MD5-хеш файла. `sha256` – SHA256-хеш файла. Вы можете указать параметры действия по реагированию одним из следующих способов: Чтобы прервать процесс для одного актива, укажите один из следующих параметров: PID Полный путь к файлу Хеш файла (MD5 или SHA256) Чтобы прервать процесс для нескольких активов, укажите один из следующих параметров: Полный путь к файлу Хеш файла (MD5 или SHA256)
`changeAuthorizationStatus`	Действием по реагированию является изменение статуса авторизации. Возможный параметр: `authorized`
`netIsolateOn`	Действием по реагированию является включение изоляции сети. Возможные параметры: `isolationTimeoutSec` – период изоляции сети. Вы можете указать этот параметр в часах или днях. Минимальное значение в часах – 5 часов, максимальное – 9999 часов. Минимальное значение в днях – 1 день, максимальное – 416 дней. `exclusions` – правила исключения. Вы можете указать одно или несколько правил исключения. `remoteIPV4Address` – сетевой трафик с указанного IPv4-адреса будет исключен из блокировки. Например, `192.168.2.15`. `remoteIPV6Address` – сетевой трафик с указанного IPv6-адреса будет исключен из блокировки. Например, `2001:0db8:0000:0000:0000:ff00:0042`. `remotePortRange` – интервал удаленных портов. `localPortRange` – интервал локальных портов. Если `remotePortRange` и `localPortRange` не указаны, правило исключения применяется ко всем портам. `exclusionsConflictBehavior` – определяет поведение в случае конфликта между различными правилами исключения. Возможные параметры: `replace` `skip` `fail`
`netIsolateOff`	Действием по реагированию является выключение изоляции сети. Чтобы запустить это действие по реагированию, вам необходимо указать параметр `asset` для функции реагирования.
`executeCommand`	Действием по реагированию является запуск исполняемого файла. Возможные параметры: `path` – путь к пользовательскому скрипту или исполняемому файлу, который вы хотите запустить. `workingDirectory` – путь к рабочей директории. `commandLineParameters` – параметры командной строки, которые вы хотите применить к команде.
`addFilePreventionRules`	Действием по реагированию является добавление правила запрета. Возможные параметры: `md5` – хеш-массив MD5. `sha256` – хеш-массив SHA256. Чтобы запустить это действие по реагированию, вам необходимо указать параметр `asset` для функции реагирования.
`deleteFilePreventionRules`	Действием по реагированию является удаление правила запрета. Возможные параметры: `md5` – хеш-массив MD5. `sha256` – хеш-массив SHA256. Чтобы запустить это действие по реагированию, вам необходимо указать параметр `asset` для функции реагирования.
`resetFilePreventionRules`	Действием по реагированию является удаление всех правил запрета. Чтобы запустить это действие по реагированию, вам необходимо указать параметр `asset` для функции реагирования.
`assignKasapGroup`	Действием по реагированию является назначение KASAP-группы. Возможные параметры: `groupId` – идентификатор группы KASAP.
`addToLDAPGroup`	Действием по реагированию является добавление пользователя в группу безопасности. Возможные параметры: `groupDN` – отличительное имя (DN) группы LDAP.
`removeFromLDAPGroup`	Действием по реагированию является удаление пользователя из группы безопасности. Возможные параметры: `groupDN` – отличительное имя (DN) группы LDAP.
`blockLDAPAccount`	Действием по реагированию является блокировка учетной записи. Чтобы запустить это действие по реагированию, вам необходимо указать параметр `asset` для функции реагирования.
`resetLDAPPassword`	Действием по реагированию является сброс пароля. Чтобы запустить это действие по реагированию, вам необходимо указать параметр `asset` для функции реагирования.
`executeCustomScript`	Действием по реагированию является выполнение пользовательских скриптов. Возможные параметры: `commandLine` – команда для запуска. `commandLineParameters` – параметры командной строки, которые вы хотите применить к команде. `stdIn` – стандартный входной поток. Используйте этот параметр, если вам нужно добавить данные в действие по реагированию. `workingDirectory` – путь к рабочей директории.
`iocsEnrichment`	Действием по реагированию является обогащение данных. Возможные параметры: `observables` – выражение jq с массивом наблюдаемых объектов, которые вы хотите обогатить. `source` – источник данных. Возможные значения: `OpenTIP` `TIP` `fullEnrichment` – определяет количество запрошенных записей. Возможные значения: `true` – запрашивать все записи из источника. `false` – запрашивать 100 самых популярных записей из источника.

Вам помогла эта статья?

Что нам нужно улучшить?

Спасибо за ваш отзыв, вы помогаете нам становиться лучше!