Kaspersky Unified Monitoring and Analysis Platform
- Справка Kaspersky Unified Monitoring and Analysis Platform
- О программе Kaspersky Unified Monitoring and Analysis Platform
- Архитектура программы
- Лицензирование программы
- О Лицензионном соглашении
- О лицензии
- О Лицензионном сертификате
- О лицензионном ключе
- О файле ключа
- О лицензионном коде
- Предоставление данных в Kaspersky Unified Monitoring and Analysis Platform
- Добавление лицензионного ключа в веб-интерфейс программы
- Просмотр информации о добавленном лицензионном ключе в веб-интерфейсе программы
- Удаление лицензионного ключа в веб-интерфейсе программы
- Руководство администратора
- Установка и удаление KUMA
- Требования к установке программы
- Порты, используемые KUMA при установке
- Скачивание CA-сертификатов
- Перевыпуск внутренних CA-сертификатов
- Изменение самоподписанного сертификата веб-консоли
- Синхронизация времени на серверах
- О файле инвентаря
- Установка на одном сервере
- Распределенная установка
- Распределенная установка в отказоустойчивой конфигурации
- Резервное копирование KUMA
- Изменение конфигурации KUMA
- Обновление предыдущих версий KUMA
- Устранение ошибок при обновлении
- Удаление KUMA
- Работа с тенантами
- Управление пользователями
- Сервисы KUMA
- Инструменты сервисов
- Наборы ресурсов для сервисов
- Создание хранилища
- Создание коррелятора
- Создание маршрутизатора событий
- Создание коллектора
- Предустановленные коллекторы
- Создание агента
- Создание набора ресурсов для агента
- Управление подключениями для агента
- Создание сервиса агента в веб-интерфейсе KUMA
- Установка агента в сетевой инфраструктуре KUMA
- Автоматически созданные агенты
- Обновление агентов
- Передача в KUMA событий из изолированных сегментов сети
- Передача в KUMA событий с машин Windows
- AI-сервисы
- Настройка источников событий
- Настройка получения событий Auditd
- Настройка получения событий KATA/EDR
- Настройка передачи событий Kaspersky Security Center в SIEM-систему KUMA
- Настройка получения событий Kaspersky Security Center из MS SQL
- Настройка получения событий с устройств Windows с помощью Агента KUMA (WEC)
- Настройка аудита событий с устройств Windows
- Настройка централизованного получения событий с устройств Windows с помощью службы Windows Event Collector
- Предоставление прав для просмотра событий Windows
- Предоставление прав входа в качестве службы
- Настройка коллектора KUMA для получения событий с устройств Windows
- Установка коллектора KUMA для получения событий с устройств Windows
- Настройка передачи в KUMA событий с устройств Windows с помощью Агента KUMA (WEC)
- Настройка получения событий с устройств Windows с помощью Агента KUMA (WMI)
- Настройка получения событий DNS-сервера с помощью агента ETW
- Настройка получения событий PostgreSQL
- Настройка получения событий ИВК Кольчуга-К
- Настройка получения событий КриптоПро NGate
- Настройка получения событий Ideco UTM
- Настройка получения событий KWTS
- Настройка получения событий KLMS
- Настройка получения событий KSMG
- Настройка получения событий KICS for Networks
- Настройка получения событий PT NAD
- Настройка получения событий c помощью плагина MariaDB Audit Plugin
- Настройка получения событий СУБД Apache Cassandra
- Настройка получения событий FreeIPA
- Настройка получения событий VipNet TIAS
- Настройка получения событий Nextcloud
- Настройка получения событий Snort
- Настройка получения событий Suricata
- Настройка получения событий FreeRADIUS
- Настройка получения событий VMware vCenter
- Настройка получения событий zVirt
- Настройка получения событий Zeek IDS
- Настройка получения событий Windows с помощью Kaspersky Endpoint Security для Windows
- Настройка получения событий Linux с помощью Kaspersky Endpoint Security для Linux
- Настройка получения событий Codemaster Mirada
- Настройка получения событий Postfix
- Настройка получения событий CommuniGate Pro
- Настройка получения событий Yandex Cloud
- Настройка получения событий Microsoft 365
- Настройка получения событий АПКШ Континент
- Настройка получения событий VK WorkSpace Mail
- Мониторинг источников событий
- Управление активами
- Добавление категории активов
- Настройка таблицы активов
- Поиск активов
- Экспорт данных об активах
- Просмотр информации об активе
- Добавление активов
- Назначение активу категории
- Изменение параметров активов
- Архивирование активов
- Удаление активов
- Массовое удаление активов
- Обновление программ сторонних производителей и закрытие уязвимостей на активах Kaspersky Security Center
- Перемещение активов в выбранную группу администрирования
- Аудит активов
- Настраиваемые поля активов
- Активы критической информационной инфраструктуры
- Интеграция с другими решениями
- Интеграция с Kaspersky Security Center
- Настройка параметров интеграции с Kaspersky Security Center
- Добавление тенанта в список тенантов для интеграции с Kaspersky Security Center
- Создание подключения к Kaspersky Security Center
- Изменение подключения к Kaspersky Security Center
- Удаление подключения к Kaspersky Security Center
- Импорт событий из базы Kaspersky Security Center
- Интеграция с Kaspersky Endpoint Detection and Response
- Интеграция с Kaspersky CyberTrace
- Интеграция с Kaspersky Threat Intelligence Portal
- Интеграция с R-Vision Security Orchestration, Automation and Response
- Интеграция с Active Directory, Active Directory Federation Services и FreeIPA
- Подключение по протоколу LDAP
- Включение и выключение LDAP-интеграции
- Добавление тенанта в список тенантов для интеграции с LDAP-сервером
- Создание подключения к LDAP-серверу
- Создание копии подключения к LDAP-серверу
- Изменение подключения к LDAP-серверу
- Изменение частоты обновления данных
- Изменение срока хранения данных
- Запуск задач на обновление данных об учетных записях
- Удаление подключения к LDAP-серверу
- Аутентификация с помощью доменных учетных записей
- Подключение по протоколу LDAP
- Интеграция с НКЦКИ
- Интеграция с Security Orchestration Automation and Response Platform (SOAR)
- Интеграция с KICS/KATA
- Интеграция с NeuroDAT SIEM IM
- Интеграция с Kaspersky Automated Security Awareness Platform
- Отправка уведомлений в Telegram
- Интеграция с UserGate
- Интеграция с Kaspersky Web Traffic Security
- Интеграция с Kaspersky Secure Mail Gateway
- Импорт информации об активах из RedCheck
- Настройка получения событий Sendmail
- Интеграция с Kaspersky Security Center
- Управление KUMA
- Работа с геоданными
- Установка и удаление KUMA
- Руководство пользователя
- Ресурсы KUMA
- Операции с ресурсами
- Создание, переименование, перемещение и удаление папок с ресурсами
- Создание, дублирование, перемещение, редактирование и удаление ресурсов
- Массовое удаление ресурсов
- Привязать корреляторы к корреляционному правилу
- Обновление ресурсов
- Экспорт ресурсов
- Импорт ресурсов
- Поиск ресурсов
- Управление тегами
- Трассировка использования ресурсов
- Версионирование ресурсов
- Точки назначения
- Точка назначения, тип internal
- Точка назначения, тип nats-jetstream
- Точка назначения, тип tcp
- Точка назначения, тип http
- Точка назначения, тип diode
- Точка назначения, тип kafka
- Точка назначения, тип file
- Точка назначения, тип storage
- Точка назначения, тип correlator
- Точка назначения, тип eventRouter
- Предустановленные точки назначения
- Нормализаторы
- Правила агрегации
- Правила обогащения
- Правила сбора и анализа данных
- Правила корреляции
- Фильтры
- Активные листы
- Просмотр таблицы активных листов
- Добавление активного листа
- Просмотр параметров активного листа
- Изменение параметров активного листа
- Дублирование параметров активного листа
- Удаление активного листа
- Просмотр записей в активном листе
- Поиск записей в активном листе
- Добавление записи в активный лист
- Дублирование записей в активном листе
- Изменение записи в активном листе
- Удаление записей в активном листе
- Импорт данных в активный лист
- Экспорт данных из активного листа
- Предустановленные активные листы
- Прокси-серверы
- Словари
- Правила реагирования
- Шаблоны уведомлений
- Коннекторы
- Просмотр параметров коннектора
- Добавление коннектора
- Параметры коннекторов
- Коннектор, тип internal
- Коннектор, тип tcp
- Коннектор, тип udp
- Коннектор, тип netflow
- Коннектор, тип sflow
- Коннектор, тип nats-jetstream
- Коннектор, тип kafka
- Коннектор, тип http
- Коннектор, тип sql
- Коннектор, тип file
- Коннектор, тип 1c-log
- Коннектор, тип 1c-xml
- Коннектор, тип diode
- Коннектор, тип ftp
- Коннектор, тип nfs
- Коннектор, тип wmi
- Коннектор, тип wec
- Коннектор, тип etw
- Коннектор, тип snmp
- Коннектор, тип snmp-trap
- Коннектор, тип kata/edr
- Коннектор, тип vmware
- Коннектор, тип elastic
- Коннектор, тип office365
- Предустановленные коннекторы
- Секреты
- Правила сегментации
- Контекстные таблицы
- Просмотр списка контекстных таблиц
- Добавление контекстной таблицы
- Просмотр параметров контекстной таблицы
- Изменение параметров контекстной таблицы
- Дублирование параметров контекстной таблицы
- Удаление контекстной таблицы
- Просмотр записей контекстной таблицы
- Поиск записей в контекстной таблице
- Добавление записи в контекстную таблицу
- Изменение записи в контекстной таблице
- Удаление записи из контекстной таблицы
- Импорт данных в контекстную таблицу
- Экспорт данных из контекстной таблицы
- Операции с ресурсами
- Пример расследования инцидента с помощью KUMA
- Условия возникновения инцидента
- Шаг 1. Предварительная подготовка
- Шаг 2. Назначение алерта пользователю
- Шаг 3. Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта
- Шаг 4. Анализ информации об алерте
- Шаг 5. Проверка на ложное срабатывание
- Шаг 6. Определение критичности алерта
- Шаг 7. Создание инцидента
- Шаг 8. Расследование
- Шаг 9. Поиск связанных активов
- Шаг 10. Поиск связанных событий
- Шаг 11. Запись причин инцидента
- Шаг 12. Реагирование на инцидент
- Шаг 13. Восстановление работоспособности активов
- Шаг 14. Закрытие инцидента
- Аналитика
- Работа с событиями
- Фильтрация и поиск событий
- Выбор хранилища
- Формирование SQL-запроса с помощью конструктора
- Создание SQL-запроса вручную
- Сохранение истории запросов
- Работа с сохраненными поисковыми запросами
- Фильтрация событий по периоду
- Группировка событий
- Отображение названий вместо идентификаторов
- Пресеты
- Ограничение сложности запросов в режиме расследования алерта
- Сохранение и выбор конфигураций фильтра событий
- Удаление конфигураций фильтра событий
- Поддерживаемые функции ClickHouse
- Просмотр информации о событии
- Экспорт событий
- Настройка таблицы событий
- Обновление таблицы событий
- Получение статистики по событиям в таблице
- Просмотр информации о корреляционном событии
- Формирование SQL-запроса с помощью SQL-функций KUMA
- Отслеживание маршрута событий
- Категоризация событий
- Гранулярный доступ к событиям
- Фильтрация и поиск событий
- Панель мониторинга
- Отчеты
- Виджеты
- Работа с алертами
- Работа с инцидентами
- О таблице инцидентов
- Сохранение и выбор конфигураций фильтра инцидентов
- Удаление конфигураций фильтра инцидентов
- Просмотр информации об инциденте
- Создание инцидента
- Обработка инцидентов
- Изменение инцидентов
- Автоматическая привязка алертов к инцидентам
- Категории и типы инцидентов
- Взаимодействие с НКЦКИ
- Ретроспективная проверка
- Работа с событиями
- Ресурсы KUMA
- Обращение в Службу технической поддержки
- REST API
- Создание токена
- Настройка прав доступа к API
- Авторизация API-запросов
- Стандартная ошибка
- Операции REST API v1
- Просмотр списка активных листов на корреляторе
- Импорт записей в активный лист
- Поиск алертов
- Закрытие алертов
- Поиск активов
- Импорт активов
- Удаление активов
- Поиск событий
- Просмотр информации о кластере
- Поиск ресурсов
- Загрузка файла с ресурсами
- Просмотр содержимого файла с ресурсами
- Импорт ресурсов
- Экспорт ресурсов
- Скачивание файла с ресурсами
- Поиск сервисов
- Поиск тенантов
- Просмотр информации о предъявителе токена
- Обновление словаря в сервисах
- Получение словаря
- Просмотр пользовательских полей активов
- Создание резервной копии Ядра KUMA
- Восстановление Ядра KUMA из резервной копии
- Просмотр списка контекстных таблиц в корреляторе
- Импорт записей в контекстную таблицу
- Экспорт записей из контекстной таблицы
- Операции REST API v2
- Просмотр списка активных листов на корреляторе
- Импорт записей в активный лист
- Поиск алертов
- Закрытие алертов
- Поиск активов
- Импорт активов
- Удаление активов
- Поиск событий
- Просмотр информации о кластере
- Поиск ресурсов
- Загрузка файла с ресурсами
- Просмотр содержимого файла с ресурсами
- Импорт ресурсов
- Экспорт ресурсов
- Скачивание файла с ресурсами
- Поиск сервисов
- Поиск тенантов
- Просмотр информации о предъявителе токена
- Обновление словаря в сервисах
- Получение словаря
- Просмотр пользовательских полей активов
- Создание резервной копии Ядра KUMA
- Восстановление Ядра KUMA из резервной копии
- Просмотр списка контекстных таблиц в корреляторе
- Импорт записей в контекстную таблицу
- Экспорт записей из контекстной таблицы
- Операции REST API v2.1
- Операции REST API v3.0
- Приложения
- Команды для запуска и установки компонентов вручную
- Проверка целостности файлов KUMA
- Модель данных нормализованного события
- Настройка модели данных нормализованного события из KATA EDR
- Модель данных алерта
- Модель данных актива
- Модель данных учетной записи
- События аудита KUMA
- Поля событий с общей информацией
- Пользователь успешно вошел в систему или не смог войти
- Логин пользователя успешно изменен
- Роль пользователя успешно изменена
- Другие данные пользователя успешно изменены
- Пользователь успешно вышел из системы
- Пароль пользователя успешно изменен
- Пользователь успешно создан
- Пользователю успешно назначена роль
- Роль пользователя успешно отозвана
- Пользователь успешно изменил настройки набора полей для определения источников
- Токен доступа пользователя успешно изменен
- Изменен набор пространств для разграничения доступа к событиям
- Сервис успешно создан
- Сервис успешно удален
- Сервис успешно перезагружен
- Сервис успешно перезапущен
- Сервис успешно запущен
- Сервис успешно сопряжен
- Статус сервиса изменен
- Раздел хранилища удален пользователем
- Раздел хранилища автоматически удален в связи с истечением срока действия
- Раздел хранилища автоматически удален или перемещен в связи с превышением объема хранилища
- Активный лист успешно очищен или операция завершилась с ошибкой
- Элемент активного листа успешно изменен или операция завершилась с ошибкой
- Элемент активного листа успешно удален или операция завершилась с ошибкой
- Активный лист успешно импортирован или операция завершилась с ошибкой
- Активный лист успешно экспортирован
- Ресурс успешно добавлен
- Ресурс успешно удален
- Ресурс успешно обновлен
- Актив успешно создан
- Актив успешно удален
- Категория актива успешно добавлена
- Категория актива успешно удалена
- Параметры успешно обновлены
- Тенант успешно создан
- Тенант успешно включен
- Тенант успешно выключен
- Другие данные тенанта успешно изменены
- Изменена политика хранения данных после изменения дисков
- Словарь успешно обновлен на сервисе или операция завершилась ошибкой
- Ответ в Active Directory
- Отправлен запрос в KIRA
- Реагирование через KICS/KATA
- Реагирование через Kaspersky Automated Security Awareness Platform
- Реагирование через KEDR
- Импорт техник и тактик MITRE ATT&CK
- Правила корреляции
- Отправка тестовых событий в KUMA
- Формат времени
- Сопоставление полей предустановленных нормализаторов
- Устаревшие ресурсы
- Генерация событий для тестирования работы нормализатора
- Информация о стороннем коде
- Уведомления о товарных знаках
- Глоссарий
Настройка реагирования с EDR-действиями
Предварительные условия
Перед настройкой реагирования с EDR-действиями убедитесь, что выполнены следующие предварительные условия:
- Настроена интеграция с Kaspersky Security Center.
- В Kaspersky Security Center создан отдельный пользователь, у которого есть права на выполнение всех задач.
- Настроена интеграция с Kaspersky Endpoint Security.
- На хосте с коррелятором выполнены следующие действия:
- Установлен Python версии 3.6 или выше и пакет Python KlAkOAPI.
- Скрипты скачаны по ссылке и размещены в директории /opt/kaspersky/kuma/correlator/<Correlator ID>/scripts.
- Скрипты подключены к Kaspersky Security Center.
Поскольку учетные данные не защищены, мы рекомендуем использовать отдельного пользователя Kaspersky Security Center, созданного в п.2, для подключения скриптов к Kaspersky Security Center, а также ограничить доступ к директории со скриптами. Для подключения следует открыть скрипты в режиме редактирования и оформить строки следующим образом:
# KSC connection info# reads Environment variables by default, change with corresponding values# KSC host, string, requiredkscHost = "kscHost"# KSC port, required, default is "13299"kscPort = "13299"# KSC certificate file path, default is FalsekscCert = False# KSC user, string, requiredkscUser = "kscUser"# KSC password, string, requiredkscPassword = "kscPassword"
Настройка реагирования
После того как преварительные условия выполнены, создайте правило реагирования в корреляторе KUMA:
- В разделе KUMA Ресурсы и сервисы → Корреляторы создайте коррелятор или откройте действующий коррелятор в режиме редактирования.
- В мастере создания коррелятора на шаге Реагирование нажмите Добавить правило реагирования и в открывшемся окне Реагирование заполните следующие поля:
- В поле Название укажите произвольное название правила реагирования.
- В поле Тенант укажите название тенанта.
- В раскрывающемся списке Тип укажите тип правила реагирования Запуск скрипта.
- В поле Время ожидания укажите количество секунд, в течение которого должно завершиться выполнение скрипта. Если указанное значение превышено, выполнение скрипта прерывается. Установите значение 10 мин.
- В поле Название скрипта укажите название скрипта. Например, deleteFile.py.
- В поле Аргументы скрипта укажите параметры или значения полей событий, которые необходимо передать скрипту. Чтобы указывать неэкранированные символы в параметрах, используйте одинарные кавычки. Аргументы представлены для каждого скрипта в раскрывающихся блоках.
onDemandScan.py — проверка важных областей
Скрипт onDemandScan автоматически создает и запускает задачу Проверка важных областей при обнаружении определенных событий KUMA. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
Ограничения
Если у вас развернуто решение Kaspersky Sandbox или KATA Sandbox, после обновления плагина управления до версии 12.9 вам нужно переустановить фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования. Это нужно для обновления прав пользователей на новую функциональность поддержки EDR-действий по реагированию на угрозы для KUMA.
Аргументы
Для настройки задачи Проверка важных областей вам нужно задать следующие аргументы для скрипта:
--targetHost– идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.--recursive true|false– режим рекурсивной проверки. Введите этот аргумент вручную.--path– список файлов и папок для выборочной проверки через пробел.Вы также можете выбрать предустановленный области проверки. В Kaspersky Endpoint Security предустановлены следующие объекты для формирования области проверки:
- Моя почта.
Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST).
- Системная память.
- Объекты автозапуска.
Память, занятая процессами, и исполняемые файлы приложения, которые запускаются при старте операционной системы.
- Загрузочные секторы.
Загрузочные секторы жестких и съемных дисков.
- Системное резервное хранилище.
Содержимое папки System Volume Information.
- Все внешние устройства.
- Все жесткие диски.
- Все сетевые диски.
Для этого вам нужно в скрипте onDemandScan для параметра "enabled" соответствующей области проверки установить значение True или False:
defaultPreset = [ {"enabled": False, "path": "%personal%", "recursive": True, "type": ScanObjectType.Folder.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.Email.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.SystemMemory.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.StartupObjectsAndRunningProcesses.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.DiskBootSectors.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.SystemBackupStorage.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllRemovableDrives.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllFixedDrives.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllNetworkDrives.value}Пример
python3 onDemandScan.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --recurive false --path 'C:\Program Files (x86)\Example Folder'Скрипт onDemandScan автоматически создает и запускает задачу Проверка важных областей при обнаружении определенных событий KUMA. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
Ограничения
Если у вас развернуто решение Kaspersky Sandbox или KATA Sandbox, после обновления плагина управления до версии 12.9 вам нужно переустановить фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования. Это нужно для обновления прав пользователей на новую функциональность поддержки EDR-действий по реагированию на угрозы для KUMA.
Аргументы
Для настройки задачи Проверка важных областей вам нужно задать следующие аргументы для скрипта:
--targetHost– идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.--recursive true|false– режим рекурсивной проверки. Введите этот аргумент вручную.--path– список файлов и папок для выборочной проверки через пробел.Вы также можете выбрать предустановленный области проверки. В Kaspersky Endpoint Security предустановлены следующие объекты для формирования области проверки:
- Моя почта.
Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST).
- Системная память.
- Объекты автозапуска.
Память, занятая процессами, и исполняемые файлы приложения, которые запускаются при старте операционной системы.
- Загрузочные секторы.
Загрузочные секторы жестких и съемных дисков.
- Системное резервное хранилище.
Содержимое папки System Volume Information.
- Все внешние устройства.
- Все жесткие диски.
- Все сетевые диски.
Для этого вам нужно в скрипте onDemandScan для параметра "enabled" соответствующей области проверки установить значение True или False:
defaultPreset = [ {"enabled": False, "path": "%personal%", "recursive": True, "type": ScanObjectType.Folder.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.Email.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.SystemMemory.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.StartupObjectsAndRunningProcesses.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.DiskBootSectors.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.SystemBackupStorage.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllRemovableDrives.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllFixedDrives.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllNetworkDrives.value}Пример
python3 onDemandScan.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --recurive false --path 'C:\Program Files (x86)\Example Folder'ioCScan.py — поиск индикаторов компрометации
Скрипт iocScan автоматически создает и запускает задачу Поиск IOC при обнаружении определенных событий KUMA. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.
Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.
Ограничения
По умолчанию Kaspersky Endpoint Security выполняет поиск IOC только в важных областях компьютера, таких как папки Загрузки, Рабочий стол, папка с временными файлами операционной системы и другие.
По умолчанию выбраны следующие журналы событий: журнал событий приложений, журнал системных событий и журнал событий безопасности.
Аргументы
Для настройки задачи Поиск IOC вам нужно задать следующие аргументы для скрипта:
--targetHost– идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.--iocZip– путь к ZIP-архиву с IOC-файлом в кодировке base64, по которым требуется выполнять поиск. Обязательный аргумент. Введите этот аргумент вручную.--isolateHost true|false– изоляция компьютера от сети при обнаружении индикатора компрометации для предотвращения распространения угрозы. Обязательный аргумент. Введите этот аргумент вручную.--quarantineObject true|false– удаление вредоносного объекта при обнаружении индикатора компрометации. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин. Обязательный аргумент. Введите этот аргумент вручную.--scanCriticalAreas true|false– запуск задачи Проверка важных областей при обнаружении индикатора компрометации. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы. Обязательный аргумент. Введите этот аргумент вручную.Пример
python3 iocScan.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --iocZip './ioc.zip' --isolateHost true --scanCriticalAreas true --quarantineObject truequarantineFile.py — помещение файла на карантин
Скрипт quarantineFile автоматически создает и запускает задачу Помещение файла на карантин при получении в KUMA определенных событий. Карантин – это специальное локальное хранилище на компьютере. Пользователь может поместить на карантин файлы, которые считает опасными для компьютера. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства.
Ограничения
Задача Помещение файла на карантин имеет следующие ограничения:
- Размер файла не должен превышать 100 МБ.
- Критически важные системные объекты (англ. System Critical Object, SCO) поместить на карантин невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
Аргументы
Для настройки задачи Помещение файла на карантин вам нужно задать следующие аргументы для скрипта:
--targetHost– идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.--path– путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.--md5hash– MD5-хеш файла. Скрипт получает этот аргумент из события.--sha256hash– SHA256-хеш файла. Скрипт получает этот аргумент из события.Примеры
python3 quarantineFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\File.txt'python3 quarantineFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\' --sha256hash 123456789101234567890123456789012deleteFile.py — удаление файла
Скрипт deleteFile автоматически создает и запускает задачу Удаление файла при обнаружении определенных событий KUMA. Например, вы можете удаленно удалить файл при реагировании на угрозы.
Ограничения
Критически важные системные объекты (англ. System Critical Object, SCO) удалить невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
Аргументы
Для настройки задачи Удаление файла вам нужно задать следующие аргументы для скрипта:
--targetHost– идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.--searchInSubfolders true|false– поиск файла в подпапках. Обязательный аргумент. Введите этот аргумент вручную.--path– путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.--md5hash– MD5-хеш файла. Скрипт получает этот аргумент из события.--sha256hash– SHA256-хеш файла. Скрипт получает этот аргумент из события.Примеры
python3 deleteFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\File.txt' --searchInFolders falsepython3 deleteFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path '1' --searchInFolders false --sha256hash 123456789101234567890123456789012Скрипт getFile автоматически создает и запускает задачу Получение файла при получении в KUMA определенных событий. Например, вы можете настроить получение файла журнала событий, который создает стороннее приложение. В результате выполнения задачи файл будет сохранен в карантине. Карантин – это специальное локальное хранилище на компьютере. Вы можете загрузить этот файл на компьютер из карантина в Web Console ([[NWC]]Операции[[]] → [[NWC]]Хранилища[[]] → [[NWC]]Карантин[[]]). При этом на компьютере пользователя файл остается в исходной папке.
Ограничение
Размер файла не должен превышать 100 МБ.
Аргументы
Для настройки задачи Получение файла вам нужно задать следующие аргументы для скрипта:
--targetHost– идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.--path– путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.--md5hash– MD5-хеш файла. Скрипт получает этот аргумент из события.--sha256hash– SHA256-хеш файла. Скрипт получает этот аргумент из события.Примеры
python3 getFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\File.txt'python3 getFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\' --md5hash 123456789101234567890123456789012isolateHost.py — сетевая изоляция компьютера
Скрипт isolateHost автоматически изолирует компьютер из сети при обнаружении определенных событий KUMA.
После включения Сетевой изоляции приложение разрывает все активные и блокирует все новые сетевые соединения TCP/IP на компьютере, кроме следующих соединений:
- соединения, указанные в исключениях из Сетевой изоляции;
- соединения, инициированные службами Kaspersky Endpoint Security;
- соединения, инициированные Агентом администрирования Kaspersky Security Center;
- соединения с SVM и Сервером интеграции, если приложение используется в режиме Легкого агента.
Аргументы
Для настройки Сетевой изоляции вам нужно задать следующие аргументы для скрипта:
--targetHost– идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.--action– режим Сетевой изоляции. Обязательный аргумент. Введите этот аргумент вручную. Возможные значения:1– изолировать компьютер от сети;0– выключить Сетевую изоляцию.
Пример
python3 isolateHost.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --action 1preventExecution.py — запрет запуска объектов
Скрипт preventExecution автоматически запрещает запуск объектов при обнаружении определенных событий KUMA. Запрет запуска объектов позволяет контролировать запуск исполняемых файлов и скриптов, а также открытие файлов офисного формата. Таким образом, вы можете, например, запретить запуск приложений, использование которых считаете небезопасным. В результате распространение угрозы может быть остановлено. Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов. Правило запрета запуска – это набор критериев, которые приложение учитывает при реагировании на запуск объекта, например, при блокировании запуска объекта. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.
Kaspersky Endpoint Security контролирует создание новых правил запрета запуска и игнорирует повторяющиеся правила. То есть, если запуск объекта уже запрещен, то приложение не будет создавать новое правило. При этом все параметры правила должны совпадать (путь до файла и хеш файла), и правило должно быть включено.
Ограничения
Запрет запуска объектов имеет следующие ограничения:
- Правила запрета не распространяются на файлы, расположенные на компакт-дисках или в ISO-образах. Приложение не будет блокировать исполнение или открытие этих файлов.
- Невозможно запретить запуск критически важных системных объектов (англ. System Critical Object, SCO). К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
- Не рекомендуется создавать более 5000 правил запрета запуска, поскольку это может привести к нестабильности системы.
Аргументы
Для настройки Запрета запуска объектов вам нужно задать следующие аргументы для скрипта:
--targetHost– идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.--hash– MD5-хеш файла. Обязательный аргумент.Скрипт получает этот аргумент из события.--path– полный путь к файлу или путь к файлу, если вы введете хеш файла. Обязательный аргумент. Скрипт получает этот аргумент из события.Пример
python3 preventExecution.py --targetHost '422db51e-9383-46d4-b75d-f4d1d20fff2c' --path 'C:\test5\run10.exe' --hash '8806b7f358884a049675b42c5f75ba10'startProcess.py — запуск процесса
Скрипт startProcess автоматически создает и запускает задачу Запуск процесса при обнаружении определенных событий KUMA. Например, вы можете удаленно запускать утилиту, которая создает файл с конфигурацией компьютера. Далее с помощью задачи Получение файла, вы можете получить созданный файл в Kaspersky Security Center Web Console.
Аргументы
Для настройки задачи Запуск процесса вам нужно задать следующие аргументы для скрипта:
--targetHost– идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.--executablePath– путь к файлу. Обязательный аргумент. Вы можете передать этот аргумент из события или ввести значение вручную.--arguments– дополнительные аргументы для запуска процесса. Введите эти аргументы вручную.--workingFolder– путь к рабочей папке процесса. Введите этот аргумент вручную.Пример
python3 startProcess.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --executablePath 'c://a/a.exe'terminateProcess.py — завершение процесса
Скрипт terminateProcess автоматически создает и запускает задачу Завершение процесса при обнаружении определенных событий KUMA. Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи Запуск процесса.
Если вы хотите запретить запуск файла, вы можете настроить компонент Запрет запуска объектов. Вы можете запретить запуск исполняемых файлов, скриптов, файлов офисного формата.
Ограничения
Завершить процессы критически важных системных объектов (англ. System Critical Object, SCO) невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
Аргументы
Для настройки задачи Завершение процесса вам нужно задать следующие аргументы для скрипта:
--targetHost– идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.--caseSensitive true|false– включение режима учета регистра при поиске файла. Обязательный аргумент. Введите этот аргумент вручную.--path– путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.--md5hash– MD5-хеш файла. Скрипт получает этот аргумент из события.--sha256hash– SHA256-хеш файла. Скрипт получает этот аргумент из события.Примеры
python3 terminateProcess.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\file.exe' --caseSensitive truepython3 terminateProcess.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\' --caseSensitive false --md5hash 123456789101234567890123456789012 - Моя почта.
- В поле Обработчики укажите количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.
- В поле Описание укажите произвольное описание правила реагирования.
- В поле Фильтр определите условия, при соответствии которым события будут обрабатываться с применением правила реагирования.
- Сохраните параметры и установите сервис коррелятора на сервере или перезапустите действующий коррелятор, чтобы применить параметры.
В результате при получении корреляционного события с определенными полями срабатывает правило реагирования в KUMA, выполняются EDR-действия и создается задача в Kaspersky Security Center. Записи можно посмотреть в журналах Kaspersky Security Center и Kaspersky Endpoint Security.