Kaspersky Unified Monitoring and Analysis Platform
Настройка реагирования с EDR-действиями

Предварительные условия

Перед настройкой реагирования с EDR-действиями убедитесь, что выполнены следующие предварительные условия:

  1. Настроена интеграция с Kaspersky Security Center.
  2. В Kaspersky Security Center создан отдельный пользователь, у которого есть права на выполнение всех задач.
  3. Настроена интеграция с Kaspersky Endpoint Security.
  4. На хосте с коррелятором выполнены следующие действия:
    1. Установлен Python версии 3.6 или выше и пакет Python KlAkOAPI.
    2. Скрипты скачаны по ссылке и размещены в директории /opt/kaspersky/kuma/correlator/<Correlator ID>/scripts.
    3. Скрипты подключены к Kaspersky Security Center.

      Поскольку учетные данные не защищены, мы рекомендуем использовать отдельного пользователя Kaspersky Security Center, созданного в п.2, для подключения скриптов к Kaspersky Security Center, а также ограничить доступ к директории со скриптами. Для подключения следует открыть скрипты в режиме редактирования и оформить строки следующим образом:

      # KSC connection info

      # reads Environment variables by default, change with corresponding values

      # KSC host, string, required

      kscHost = "kscHost"

      # KSC port, required, default is "13299"

      kscPort = "13299"

      # KSC certificate file path, default is False

      kscCert = False

      # KSC user, string, required

      kscUser = "kscUser"

      # KSC password, string, required

      kscPassword = "kscPassword"

Настройка реагирования

После того как преварительные условия выполнены, создайте правило реагирования в корреляторе KUMA:

  1. В разделе KUMA Ресурсы и сервисы → Корреляторы создайте коррелятор или откройте действующий коррелятор в режиме редактирования.
  2. В мастере создания коррелятора на шаге Реагирование нажмите Добавить правило реагирования и в открывшемся окне Реагирование заполните следующие поля:
    1. В поле Название укажите произвольное название правила реагирования.
    2. В поле Тенант укажите название тенанта.
    3. В раскрывающемся списке Тип укажите тип правила реагирования Запуск скрипта.
    4. В поле Время ожидания укажите количество секунд, в течение которого должно завершиться выполнение скрипта. Если указанное значение превышено, выполнение скрипта прерывается. Установите значение 10 мин.
    5. В поле Название скрипта укажите название скрипта. Например, deleteFile.py.
    6. В поле Аргументы скрипта укажите параметры или значения полей событий, которые необходимо передать скрипту. Чтобы указывать неэкранированные символы в параметрах, используйте одинарные кавычки. Аргументы представлены для каждого скрипта в раскрывающихся блоках.

      onDemandScan.py — проверка важных областей

      ioCScan.py — поиск индикаторов компрометации

      quarantineFile.py — помещение файла на карантин

      deleteFile.py — удаление файла

      getFile.py — получение файла

      isolateHost.py — сетевая изоляция компьютера

      preventExecution.py — запрет запуска объектов

      startProcess.py — запуск процесса

      terminateProcess.py — завершение процесса

    7. В поле Обработчики укажите количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.
    8. В поле Описание укажите произвольное описание правила реагирования.
    9. В поле Фильтр определите условия, при соответствии которым события будут обрабатываться с применением правила реагирования.
  3. Сохраните параметры и установите сервис коррелятора на сервере или перезапустите действующий коррелятор, чтобы применить параметры.

В результате при получении корреляционного события с определенными полями срабатывает правило реагирования в KUMA, выполняются EDR-действия и создается задача в Kaspersky Security Center. Записи можно посмотреть в журналах Kaspersky Security Center и Kaspersky Endpoint Security.