Kaspersky Unified Monitoring and Analysis Platform

Правила реагирования

Правила реагирования запускают для заданных событий автоматическое выполнение задач Kaspersky Security Center, действия по реагированию для Kaspersky Endpoint Detection and Response, KICS/KATA, Active Directory и запуск пользовательского скрипта.

Автоматическое выполнение задач Kaspersky Security Center, Kaspersky Endpoint Detection and Response, KICS/KATA и Active Directory по правилам реагирования доступно при интеграции с перечисленными программами.

Вы можете настроить правила реагирования в разделе Ресурсы → Реагирование, а затем выбрать созданное правило реагирования в раскрывающемся списке в настройках коррелятора. Правила реагирования также можно настроить напрямую в настройках коррелятора.

В этом разделе

Правила реагирования для Kaspersky Security Center

Правила реагирования для пользовательского скрипта

Правила реагирования для KICS for Networks

Правила реагирования для Kaspersky Endpoint Detection and Response

Правила реагирования через Active Directory

Правила реагирования с EDR-действиями

В начало
[Topic 217972]

Правила реагирования для Kaspersky Security Center

Вы можете настроить правила реагирования для автоматического запуска задач антивирусной проверки и обновления на активах Kaspersky Security Center.

При создании и изменении правил реагирования для Kaspersky Security Center вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тип

Обязательный параметр, доступен при интеграции KUMA с Kaspersky Security Center.

Тип правила реагирования, ksctasks.

Задача Kaspersky Security Center

Обязательный параметр.

Название задачи Kaspersky Security Center, которую требуется запустить. Задачи должны быть созданы заранее, их названия должны начинаться со слова "KUMA". Например, KUMA antivirus check (без учета регистра и без кавычек).

С помощью KUMA можно запустить следующие типы задач Kaspersky Security Center:

  • обновление;
  • поиск вирусов.

Поле события

Обязательный параметр.

Определяет поле события для актива, для которого нужно запустить задачу Kaspersky Security Center. Возможные значения:

  • SourceAssetID.
  • DestinationAssetID.
  • DeviceAssetID.

Обработчики

Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

Описание

Описание правила реагирования. Вы можете добавить до 4000 символов в кодировке Unicode.

Фильтр

Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

Чтобы создать фильтр:

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
    3. В раскрывающемся списке оператор выберите оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      • inContextTable – присутствует ли в указанной контекстной таблице запись.
      • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
    4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

    Вы можете добавить несколько условий или группу условий.

  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку открыть для редактирования..

Для отправки запросов в Kaspersky Security Center необходимо убедиться, что Kaspersky Security Center доступен по протоколу UDP.

Если правила реагирования принадлежат Общему тенанту, то в качестве доступных для выбора задач Kaspersky Security Center отображаются задачи от сервера Kaspersky Security Center, к которому подключен главный тенант.

Если в правиле реагирования выбрана задача, которая отсутствует на сервере Kaspersky Security Center, к которому подключен тенант, для активов этого тенанта задача не будет выполнена. Такая ситуация может возникнуть, например, когда два тенанта используют общий коррелятор.

В начало
[Topic 233363]

Правила реагирования для пользовательского скрипта

Вы можете создать скрипт с командами, которые требуется выполнить на сервере KUMA при обнаружении выбранных событий, и настроить правила реагирования для автоматического запуска этого скрипта. В этом случае программа запустит скрипт при получении событий, соответствующих правилам реагирования.

Файл скрипта хранится на сервере, где установлен сервис коррелятора, использующий ресурс реагирования: /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts. Пользователю kuma этого сервера требуются права на запуск скрипта.

При создании и изменении правил реагирования для произвольного скрипта вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тип

Обязательный параметр.

Тип правила реагирования, script.

Время ожидания

Количество секунд, в течение которого должно завершиться выполнение скрипта. Если это время превышено, выполнение скрипта прерывается.

Название скрипта

Обязательный параметр.

Имя файла скрипта.

Если ресурс реагирования прикреплен к сервису коррелятора, но в папке /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts файл скрипта отсутствует, коррелятор не будет работать.

Аргументы скрипта

Параметры или значения полей событий, которые необходимо передать скрипту.

Если в скрипте производятся какие-либо действия с файлами, к ним следует указывать абсолютный путь.

Параметры можно обрамлять кавычками (").

Имена полей событий передаются в формате {{.EventField}}, где EventField – это имя поля события, значение которого должно быть передано в скрипт.

Пример: -n "\"usr\": {{.SourceUserName}}"

Обработчики

Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

Описание

Описание ресурса. Вы можете добавить до 4000 символов в кодировке Unicode.

Фильтр

Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

Чтобы создать фильтр:

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
    3. В раскрывающемся списке оператор выберите оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      • inContextTable – присутствует ли в указанной контекстной таблице запись.
      • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
    4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

    Вы можете добавить несколько условий или группу условий.

  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку открыть для редактирования..

В начало
[Topic 233366]

Правила реагирования для KICS for Networks

Вы можете настроить правила реагирования для автоматического запуска действий по реагированию на активах KICS for Networks. Например, изменить статус актива в KICS for Networks.

При создании и изменении правил реагирования для KICS for Networks вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тип

Обязательный параметр.

Тип правила реагирования, Реагирование через KICS/KATA.

Поле события

Обязательный параметр.

Определяет поле события для актива, для которого нужно выполнить действия по реагированию. Возможные значения:

  • SourceAssetID.
  • DestinationAssetID.
  • DeviceAssetID.

Задача KICS for Networks

Действие по реагированию, которое требуется выполнить при получении данных, соответствующих фильтру. Доступны следующие типы действий по реагированию:

  • Изменить статус актива на Разрешенное.
  • Изменить статус актива на Неразрешенное.

При срабатывании правила реагирования из KUMA в KICS for Networks будет отправлен API-запрос на изменение статуса указанного устройства на Разрешенное или Неразрешенное.

Обработчики

Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

Описание

Описание ресурса. Вы можете добавить до 4000 символов в кодировке Unicode.

Фильтр

Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

Чтобы создать фильтр:

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
    3. В раскрывающемся списке оператор выберите оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      • inContextTable – присутствует ли в указанной контекстной таблице запись.
      • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
    4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

    Вы можете добавить несколько условий или группу условий.

  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку открыть для редактирования..

В начало
[Topic 233722]

Правила реагирования для Kaspersky Endpoint Detection and Response

Вы можете настроить правила реагирования для автоматического запуска действий по реагированию на активах Kaspersky Endpoint Detection and Response. Например, вы можете настроить автоматическую изоляцию актива от сети.

При создании и изменении правил реагирования для Kaspersky Endpoint Detection and Response вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр

Описание

Поле события

Обязательный параметр.

Определяет поле события для актива, для которого нужно выполнить действия по реагированию. Возможные значения:

  • SourceAssetID.
  • DestinationAssetID.
  • DeviceAssetID.

Тип задачи

Действие по реагированию, которое требуется выполнить при получении данных, соответствующих фильтру. Доступны следующие типы действий по реагированию:

  • Включить сетевую изоляцию. При выборе этого типа реагирования вам нужно задать значения для параметра:
    • Срок действия изоляции – количество часов, в течение которых будет действовать сетевая изоляция актива. Вы можете указать от 1 до 9999 часов. При необходимости вы можете добавить исключение для сетевой изоляции.

      Чтобы добавить исключение для сетевой изоляции:

      1. Нажмите на кнопку Добавить исключение.
      2. Выберите направление сетевого трафика, которое не должно быть заблокировано:
        • Входящее.
        • Исходящее.
        • Входящее/Исходящее.
      3. В поле IP актива введите IP-адрес актива, сетевой трафик которого не должен быть заблокирован.
      4. Если вы выбрали Входящее или Исходящее, укажите порты подключения в полях Удаленные порты и Локальные порты.
      5. Если вы хотите добавить более одного исключения, нажмите на кнопку Добавить исключение и повторите действия по заполнению полей Направление трафика, IP актива, Удаленные порты и Локальные порты.
      6. Если вы хотите удалить исключение, нажмите на кнопку Удалить под нужным вам исключением.

    При добавлении исключений в правило сетей изоляции Kaspersky Endpoint Detection and Response может некорректно отображать значения портов в информации о правиле. Это не влияет на работоспособность программы. Подробнее о просмотре правила сетевой изоляции см. в справке Kaspersky Anti Targeted Attack Platform.

  • Выключить сетевую изоляцию.
  • Добавить правило запрета. При выборе этого типа реагирования вам нужно задать значения для следующих параметров:
    • Поля события для получения хеш-суммы – поля событий, из которых KUMA извлекает SHA256- или MD5-хеши файлов, запуск которых требуется запретить.
      Выбранные поля событий, а также значения, выбранные в Поле события, требуется добавить в наследуемые поля правила корреляции.
    • Хеш файла №1 – SHA256- или MD5-хеш файла, который требуется запретить.

Хотя бы одно из указанных выше полей должно быть заполнено.

  • Удалить правило запрета.
  • Запустить программу. При выборе этого типа реагирования вам нужно задать значения для следующих параметров:
    • Путь к файлу – путь к файлу процесса, который вы хотите запустить.
    • Аргументы командной строки – параметры, с которыми вы хотите запустить файл.
    • Текущая директория – директория, в которой на момент запуска располагается файл.

    При срабатывании правила реагирования для пользователей с ролью главный администратор в разделе Диспетчер задач веб-интерфейса программы отобразится задача Запустить программу. В столбце Создал таблицы задач для этой задачи отображается Задача по расписанию. Вы можете просмотреть результат выполнения задачи.

Все перечисленные операции выполняются на активах с Kaspersky Endpoint Agent для Windows. На активах с Kaspersky Endpoint Agent для Linux выполняется только запуск программы.

На программном уровне возможность создания правил запрета и сетевой изоляции для активов с Kaspersky Endpoint Agent для Linux не ограничена. KUMA и Kaspersky Endpoint Detection and Response не уведомляют о неуспешном применении этих правил.

Обработчики

Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

Описание

Описание правила реагирования. Вы можете добавить до 4000 символов в кодировке Unicode.

Фильтр

Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

Чтобы создать фильтр:

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
    3. В раскрывающемся списке оператор выберите оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      • inContextTable – присутствует ли в указанной контекстной таблице запись.
      • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
    4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

    Вы можете добавить несколько условий или группу условий.

  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку открыть для редактирования..

В начало
[Topic 237454]

Правила реагирования через Active Directory

Правила реагирования через Active Directory определяют действия, которые будут применяться к учетной записи в случае срабатывания правила.

При создании и изменении правил реагирования через Active Directory вам требуется задать значения для следующих параметров.

Параметры правила реагирования

Параметр

Описание

Название

Обязательный параметр.

Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode.

Тенант

Обязательный параметр.

Название тенанта, которому принадлежит ресурс.

Тип

Обязательный параметр.

Тип правила реагирования, Реагирование через Active Directory.

Источник идентификатора учетной записи

Поле события, откуда будет взято значение идентификатора учетной записи Active Directory. Возможные значения:

  • SourceAccountID
  • DestinationAccountID

Команда Active Directory

Команда, которая будет применяться к учетной записи при срабатывании правила реагирования.

Доступные значения:

  • Добавить учетную запись в группу

    Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
    В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
    Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
    В рамках одной операции можно указать только одну группу.

  • Удалить учетную запись из группы

    Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
    В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
    Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
    В рамках одной операции можно указать только одну группу.

  • Сбросить пароль учетной записи

Если в вашем домене Active Directory для учетных записей допускается установка флажка User cannot change password, использование в качестве реагирования сброса пароля учетной записи приведет к коллизии требований к учетной записи: пользователь не сможет аутентифицироваться. Администратору домена потребуется снять один из флажков для затронутой учетной записи: User cannot change password или User must change password at next logon.

  • Блокировать учетную запись

DN группы

DistinguishedName группы домена, пользователи которого должны иметь возможность пройти аутентификацию со своими доменными учетными данными, в полях для каждой роли. Пример ввода группы: OU=KUMA users,OU=users,DC=example,DC=domain

Обработчики

Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.

Фильтр

Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр.

Создание фильтра в ресурсах

Чтобы создать фильтр:

  1. В раскрывающемся списке Фильтр выберите Создать.
  2. Если вы хотите сохранить фильтр в качестве отдельного ресурса, установите флажок Сохранить фильтр. В этом случае вы сможете использовать созданный фильтр в разных сервисах. По умолчанию флажок снят.
  3. Если вы установили флажок Сохранить фильтр, в поле Название введите название для создаваемого ресурса фильтра. Максимальная длина названия: до 128 символов в кодировке Unicode.
  4. В блоке параметров Условия укажите условия, которым должны соответствовать события:
    1. Нажмите на кнопку Добавить условие.
    2. В раскрывающихся списках Левый операнд и Правый операнд укажите параметры поиска. В зависимости от источника данных, выбранного в поле Правый операнд, могут отобразиться поля дополнительных параметров для определения значения, которое будет передано в фильтр. Например, при выборе значения активный лист вам нужно указать название активного листа, ключ записи и поле ключа записи.
    3. В раскрывающемся списке оператор выберите оператор.

      Операторы фильтров

      • = – левый операнд равен правому операнду.
      • < – левый операнд меньше правого операнда.
      • <= – левый операнд меньше или равен правому операнду.
      • > – левый операнд больше правого операнда.
      • >= – левый операнд больше или равен правому операнду.
      • inSubnet – левый операнд (IP-адрес) находится в подсети правого операнда (подсети).
      • contains – левый операнд содержит значения правого операнда.
      • startsWith – левый операнд начинается с одного из значений правого операнда.
      • endsWith – левый операнд заканчивается одним из значений правого операнда.
      • match – левый операнд соответствует регулярному выражению правого операнда. Используются регулярные выражения RE2.
      • hasBit – установлены ли в левом операнде (в строке или числе), биты, позиции которых перечислены в правом операнде (в константе или в списке).

        Проверяемое значение переводится в двоичную систему счисления, после чего рассматривается справа налево. Проверяются символы, индекс которых указан в качестве константы или списка.

        Если проверяемое значение – это строка, то производится попытка перевести ее в целое число и обработать указанным выше способом. Если перевести строку в число невозможно, фильтр возвращает False.

      • hasVulnerability – находится ли в левом операнде актив с уязвимостью и уровнем важности уязвимости, указанными в правом операнде.

        Если идентификатор и значение важности уязвимости не указать, фильтр будет срабатывать при наличии любых уязвимостей у актива в проверяемом событии.

      • inActiveList – этот оператор имеет только один операнд. Его значения выбираются в поле Ключевые поля и сравниваются с записями активного листа, выбранного в раскрывающемся списке активных листов.
      • inDictionary – присутствует ли в указанном словаре запись, соответствующая ключу, составленному из значений выбранных полей события.
      • inCategory – активу в левом операнде назначена по крайней мере одна из категорий активов правого операнда.
      • inActiveDirectoryGroup – учетная запись Active Directory в левом операнде принадлежит одной из групп Active Directory в правом операнде.
      • TIDetect – этот оператор используется для поиска событий с данными CyberTrace Threat Intelligence (TI). Этот оператор можно использовать только на событиях, прошедших обогащение данными из CyberTrace Threat Intelligence, то есть только в коллекторах на этапе выбора точки назначения и в корреляторах.
      • inContextTable – присутствует ли в указанной контекстной таблице запись.
      • intersect – находятся ли в левом операнде элементы списка, указанные в списке в правом операнде.
    4. Если вы хотите, чтобы оператор игнорировал регистр значений, установите флажок без учета регистра. Действие флажка не распространяется на операторы InSubnet, InActiveList, InCategory, InActiveDirectoryGroup. По умолчанию флажок снят.
    5. Если вы хотите добавить отрицательное условие, в раскрывающемся списке Если выберите Если не.

    Вы можете добавить несколько условий или группу условий.

  5. Если вы добавили несколько условий или групп условий, выберите условие отбора (и, или, не), нажав на кнопку И.
  6. Если вы хотите добавить уже существующие фильтры, которые выбираются в раскрывающемся списке Выберите фильтр, нажмите на кнопку Добавить фильтр. Вы можете просмотреть параметры вложенного фильтра, нажав на кнопку открыть для редактирования..

В начало
[Topic 243446]

Правила реагирования с EDR-действиями

Начиная с версии KUMA 3.4.1 и Kaspersky Endpoint Security для Windows 12.9 добавлена поддержка EDR-действий при реагировании на угрозы. При получении корреляционных событий KUMA выполняет EDR-действия. Для выполнения EDR-действий вам нужно предварительно настроить правила реагирования. В свойствах правил реагирования следует задать аргументы скриптов, которые доступны для скачивания. При срабатывании правила реагирования Kaspersky Endpoint Security выполняет EDR-действия и создает в Kaspersky Security Center следующие задачи:

  • onDemandScan.py — проверка важных областей.
  • ioCScan.py — поиск индикаторов компрометации.
  • quarantineFile.py — помещение файла на карантин.
  • deleteFile.py — удаление файла.
  • getFile.py — получение файла.
  • isolateHost.py — сетевая изоляция компьютера.
  • preventExecution.py — запрет запуска объектов.

    Для выполнения этой задачи важно убедиться, что в Kaspersky Security Center в разделе <имя политики> → Application settingsDetection and ResponseEndpoint Detection and Response переключатель Execution Prevention Disabled находится в неактивном положении.

  • startProcess.py — запуск процесса.
  • terminateProcess.py — завершение процесса.

При настройке правил реагирования с EDR-действиями мы рекомендуем учитывать нагрузку на компьютер при запуске задач. Если в результате работы правил реагирования скрипты создадут слишком много задач, производительность компьютера может снизиться. Если запросов будет слишком много, будет выполняться ротация запросов независимо от того, был ли выполнен запрос. Kaspersky Endpoint Security позволяет создавать не более 100 задач. При достижении этого ограничения Kaspersky Endpoint Security выполняет ротацию задач в Kaspersky Security Center. Срок жизни задачи составляет 30 дней.

Вы можете контролировать выполнение EDR-действий в консоли администрирования с помощью отчетов. Kaspersky Endpoint Security формирует события с описанием в формате '[Response][kuma] $<script name> - $<date>';. Описание в таком формате позволяет создавать выборки событий для EDR-действий.

В начало
[Topic 300229]

Настройка реагирования с EDR-действиями

Предварительные условия

Перед настройкой реагирования с EDR-действиями убедитесь, что выполнены следующие предварительные условия:

  1. Настроена интеграция с Kaspersky Security Center.
  2. В Kaspersky Security Center создан отдельный пользователь, у которого есть права на выполнение всех задач.
  3. Настроена интеграция с Kaspersky Endpoint Security.
  4. На хосте с коррелятором выполнены следующие действия:
    1. Установлен Python версии 3.6 или выше и пакет Python KlAkOAPI.
    2. Скрипты скачаны по ссылке и размещены в директории /opt/kaspersky/kuma/correlator/<Correlator ID>/scripts.
    3. Скрипты подключены к Kaspersky Security Center.

      Поскольку учетные данные не защищены, мы рекомендуем использовать отдельного пользователя Kaspersky Security Center, созданного в п.2, для подключения скриптов к Kaspersky Security Center, а также ограничить доступ к директории со скриптами. Для подключения следует открыть скрипты в режиме редактирования и оформить строки следующим образом:

      # KSC connection info

      # reads Environment variables by default, change with corresponding values

      # KSC host, string, required

      kscHost = "kscHost"

      # KSC port, required, default is "13299"

      kscPort = "13299"

      # KSC certificate file path, default is False

      kscCert = False

      # KSC user, string, required

      kscUser = "kscUser"

      # KSC password, string, required

      kscPassword = "kscPassword"

Настройка реагирования

После того как преварительные условия выполнены, создайте правило реагирования в корреляторе KUMA:

  1. В разделе KUMA Ресурсы и сервисы → Корреляторы создайте коррелятор или откройте действующий коррелятор в режиме редактирования.
  2. В мастере создания коррелятора на шаге Реагирование нажмите Добавить правило реагирования и в открывшемся окне Реагирование заполните следующие поля:
    1. В поле Название укажите произвольное название правила реагирования.
    2. В поле Тенант укажите название тенанта.
    3. В раскрывающемся списке Тип укажите тип правила реагирования Запуск скрипта.
    4. В поле Время ожидания укажите количество секунд, в течение которого должно завершиться выполнение скрипта. Если указанное значение превышено, выполнение скрипта прерывается. Установите значение 10 мин.
    5. В поле Название скрипта укажите название скрипта. Например, deleteFile.py.
    6. В поле Аргументы скрипта укажите параметры или значения полей событий, которые необходимо передать скрипту. Чтобы указывать неэкранированные символы в параметрах, используйте одинарные кавычки. Аргументы представлены для каждого скрипта в раскрывающихся блоках.

      onDemandScan.py — проверка важных областей

      Скрипт onDemandScan автоматически создает и запускает задачу Проверка важных областей при обнаружении определенных событий KUMA. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.

      Ограничения

      Если у вас развернуто решение Kaspersky Sandbox или KATA Sandbox, после обновления плагина управления до версии 12.9 вам нужно переустановить фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования. Это нужно для обновления прав пользователей на новую функциональность поддержки EDR-действий по реагированию на угрозы для KUMA.

      Аргументы

      Для настройки задачи Проверка важных областей вам нужно задать следующие аргументы для скрипта:

      --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.

      --recursive true|false – режим рекурсивной проверки. Введите этот аргумент вручную.

      --path – список файлов и папок для выборочной проверки через пробел.

      Вы также можете выбрать предустановленный области проверки. В Kaspersky Endpoint Security предустановлены следующие объекты для формирования области проверки:

      • Моя почта.

        Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST).

      • Системная память.
      • Объекты автозапуска.

        Память, занятая процессами, и исполняемые файлы приложения, которые запускаются при старте операционной системы.

      • Загрузочные секторы.

        Загрузочные секторы жестких и съемных дисков.

      • Системное резервное хранилище.

        Содержимое папки System Volume Information.

      • Все внешние устройства.
      • Все жесткие диски.
      • Все сетевые диски.

      Для этого вам нужно в скрипте onDemandScan для параметра "enabled" соответствующей области проверки установить значение True или False:

      defaultPreset = [ {"enabled": False, "path": "%personal%", "recursive": True, "type": ScanObjectType.Folder.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.Email.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.SystemMemory.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.StartupObjectsAndRunningProcesses.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.DiskBootSectors.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.SystemBackupStorage.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllRemovableDrives.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllFixedDrives.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllNetworkDrives.value}

      Пример

      python3 onDemandScan.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --recurive false --path 'C:\Program Files (x86)\Example Folder'

      Скрипт onDemandScan автоматически создает и запускает задачу Проверка важных областей при обнаружении определенных событий KUMA. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.

      Ограничения

      Если у вас развернуто решение Kaspersky Sandbox или KATA Sandbox, после обновления плагина управления до версии 12.9 вам нужно переустановить фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования. Это нужно для обновления прав пользователей на новую функциональность поддержки EDR-действий по реагированию на угрозы для KUMA.

      Аргументы

      Для настройки задачи Проверка важных областей вам нужно задать следующие аргументы для скрипта:

      --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.

      --recursive true|false – режим рекурсивной проверки. Введите этот аргумент вручную.

      --path – список файлов и папок для выборочной проверки через пробел.

      Вы также можете выбрать предустановленный области проверки. В Kaspersky Endpoint Security предустановлены следующие объекты для формирования области проверки:

      • Моя почта.

        Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST).

      • Системная память.
      • Объекты автозапуска.

        Память, занятая процессами, и исполняемые файлы приложения, которые запускаются при старте операционной системы.

      • Загрузочные секторы.

        Загрузочные секторы жестких и съемных дисков.

      • Системное резервное хранилище.

        Содержимое папки System Volume Information.

      • Все внешние устройства.
      • Все жесткие диски.
      • Все сетевые диски.

      Для этого вам нужно в скрипте onDemandScan для параметра "enabled" соответствующей области проверки установить значение True или False:

      defaultPreset = [ {"enabled": False, "path": "%personal%", "recursive": True, "type": ScanObjectType.Folder.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.Email.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.SystemMemory.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.StartupObjectsAndRunningProcesses.value}, {"enabled": True, "path": "", "recursive": True, "type": ScanObjectType.DiskBootSectors.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.SystemBackupStorage.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllRemovableDrives.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllFixedDrives.value}, {"enabled": False, "path": "", "recursive": True, "type": ScanObjectType.AllNetworkDrives.value}

      Пример

      python3 onDemandScan.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --recurive false --path 'C:\Program Files (x86)\Example Folder'

      ioCScan.py — поиск индикаторов компрометации

      Скрипт iocScan автоматически создает и запускает задачу Поиск IOC при обнаружении определенных событий KUMA. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.

      Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.

      Ограничения

      По умолчанию Kaspersky Endpoint Security выполняет поиск IOC только в важных областях компьютера, таких как папки Загрузки, Рабочий стол, папка с временными файлами операционной системы и другие.

      По умолчанию выбраны следующие журналы событий: журнал событий приложений, журнал системных событий и журнал событий безопасности.

      Аргументы

      Для настройки задачи Поиск IOC вам нужно задать следующие аргументы для скрипта:

      --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.

      --iocZip – путь к ZIP-архиву с IOC-файлом в кодировке base64, по которым требуется выполнять поиск. Обязательный аргумент. Введите этот аргумент вручную.

      --isolateHost true|false – изоляция компьютера от сети при обнаружении индикатора компрометации для предотвращения распространения угрозы. Обязательный аргумент. Введите этот аргумент вручную.

      --quarantineObject true|false – удаление вредоносного объекта при обнаружении индикатора компрометации. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин. Обязательный аргумент. Введите этот аргумент вручную.

      --scanCriticalAreas true|false – запуск задачи Проверка важных областей при обнаружении индикатора компрометации. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы. Обязательный аргумент. Введите этот аргумент вручную.

      Пример

      python3 iocScan.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --iocZip './ioc.zip' --isolateHost true --scanCriticalAreas true --quarantineObject true

      quarantineFile.py — помещение файла на карантин

      Скрипт quarantineFile автоматически создает и запускает задачу Помещение файла на карантин при получении в KUMA определенных событий. Карантин – это специальное локальное хранилище на компьютере. Пользователь может поместить на карантин файлы, которые считает опасными для компьютера. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства.

      Ограничения

      Задача Помещение файла на карантин имеет следующие ограничения:

      1. Размер файла не должен превышать 100 МБ.
      2. Критически важные системные объекты (англ. System Critical Object, SCO) поместить на карантин невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.

      Аргументы

      Для настройки задачи Помещение файла на карантин вам нужно задать следующие аргументы для скрипта:

      --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.

      --path – путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.

      --md5hash – MD5-хеш файла. Скрипт получает этот аргумент из события.

      --sha256hash – SHA256-хеш файла. Скрипт получает этот аргумент из события.

      Примеры

      python3 quarantineFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\File.txt'

      python3 quarantineFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\' --sha256hash 123456789101234567890123456789012

      deleteFile.py — удаление файла

      Скрипт deleteFile автоматически создает и запускает задачу Удаление файла при обнаружении определенных событий KUMA. Например, вы можете удаленно удалить файл при реагировании на угрозы.

      Ограничения

      Критически важные системные объекты (англ. System Critical Object, SCO) удалить невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.

      Аргументы

      Для настройки задачи Удаление файла вам нужно задать следующие аргументы для скрипта:

      --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.

      --searchInSubfolders true|false – поиск файла в подпапках. Обязательный аргумент. Введите этот аргумент вручную.

      --path – путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.

      --md5hash – MD5-хеш файла. Скрипт получает этот аргумент из события.

      --sha256hash – SHA256-хеш файла. Скрипт получает этот аргумент из события.

      Примеры

      python3 deleteFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\File.txt' --searchInFolders false

      python3 deleteFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path '1' --searchInFolders false --sha256hash 123456789101234567890123456789012

      getFile.py — получение файла

      Скрипт getFile автоматически создает и запускает задачу Получение файла при получении в KUMA определенных событий. Например, вы можете настроить получение файла журнала событий, который создает стороннее приложение. В результате выполнения задачи файл будет сохранен в карантине. Карантин – это специальное локальное хранилище на компьютере. Вы можете загрузить этот файл на компьютер из карантина в Web Console ([[NWC]]Операции[[]][[NWC]]Хранилища[[]][[NWC]]Карантин[[]]). При этом на компьютере пользователя файл остается в исходной папке.

      Ограничение

      Размер файла не должен превышать 100 МБ.

      Аргументы

      Для настройки задачи Получение файла вам нужно задать следующие аргументы для скрипта:

      --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.

      --path – путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.

      --md5hash – MD5-хеш файла. Скрипт получает этот аргумент из события.

      --sha256hash – SHA256-хеш файла. Скрипт получает этот аргумент из события.

      Примеры

      python3 getFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\File.txt'

      python3 getFile.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\' --md5hash 123456789101234567890123456789012

      isolateHost.py — сетевая изоляция компьютера

      Скрипт isolateHost автоматически изолирует компьютер из сети при обнаружении определенных событий KUMA.

      После включения Сетевой изоляции приложение разрывает все активные и блокирует все новые сетевые соединения TCP/IP на компьютере, кроме следующих соединений:

      • соединения, указанные в исключениях из Сетевой изоляции;
      • соединения, инициированные службами Kaspersky Endpoint Security;
      • соединения, инициированные Агентом администрирования Kaspersky Security Center;
      • соединения с SVM и Сервером интеграции, если приложение используется в режиме Легкого агента.

      Аргументы

      Для настройки Сетевой изоляции вам нужно задать следующие аргументы для скрипта:

      --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.

      --action – режим Сетевой изоляции. Обязательный аргумент. Введите этот аргумент вручную. Возможные значения:

      • 1 – изолировать компьютер от сети;
      • 0 – выключить Сетевую изоляцию.

      Пример

      python3 isolateHost.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --action 1

      preventExecution.py — запрет запуска объектов

      Скрипт preventExecution автоматически запрещает запуск объектов при обнаружении определенных событий KUMA. Запрет запуска объектов позволяет контролировать запуск исполняемых файлов и скриптов, а также открытие файлов офисного формата. Таким образом, вы можете, например, запретить запуск приложений, использование которых считаете небезопасным. В результате распространение угрозы может быть остановлено. Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов. Правило запрета запуска – это набор критериев, которые приложение учитывает при реагировании на запуск объекта, например, при блокировании запуска объекта. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

      Kaspersky Endpoint Security контролирует создание новых правил запрета запуска и игнорирует повторяющиеся правила. То есть, если запуск объекта уже запрещен, то приложение не будет создавать новое правило. При этом все параметры правила должны совпадать (путь до файла и хеш файла), и правило должно быть включено.

      Ограничения

      Запрет запуска объектов имеет следующие ограничения:

      1. Правила запрета не распространяются на файлы, расположенные на компакт-дисках или в ISO-образах. Приложение не будет блокировать исполнение или открытие этих файлов.
      2. Невозможно запретить запуск критически важных системных объектов (англ. System Critical Object, SCO). К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
      3. Не рекомендуется создавать более 5000 правил запрета запуска, поскольку это может привести к нестабильности системы.

      Аргументы

      Для настройки Запрета запуска объектов вам нужно задать следующие аргументы для скрипта:

      --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.

      --hash – MD5-хеш файла. Обязательный аргумент.Скрипт получает этот аргумент из события.

      --path – полный путь к файлу или путь к файлу, если вы введете хеш файла. Обязательный аргумент. Скрипт получает этот аргумент из события.

      Пример

      python3 preventExecution.py --targetHost '422db51e-9383-46d4-b75d-f4d1d20fff2c' --path 'C:\test5\run10.exe' --hash '8806b7f358884a049675b42c5f75ba10'

      startProcess.py — запуск процесса

      Скрипт startProcess автоматически создает и запускает задачу Запуск процесса при обнаружении определенных событий KUMA. Например, вы можете удаленно запускать утилиту, которая создает файл с конфигурацией компьютера. Далее с помощью задачи Получение файла, вы можете получить созданный файл в Kaspersky Security Center Web Console.

      Аргументы

      Для настройки задачи Запуск процесса вам нужно задать следующие аргументы для скрипта:

      --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.

      --executablePath – путь к файлу. Обязательный аргумент. Вы можете передать этот аргумент из события или ввести значение вручную.

      --arguments – дополнительные аргументы для запуска процесса. Введите эти аргументы вручную.

      --workingFolder – путь к рабочей папке процесса. Введите этот аргумент вручную.

      Пример

      python3 startProcess.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --executablePath 'c://a/a.exe'

      terminateProcess.py — завершение процесса

      Скрипт terminateProcess автоматически создает и запускает задачу Завершение процесса при обнаружении определенных событий KUMA. Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи Запуск процесса.

      Если вы хотите запретить запуск файла, вы можете настроить компонент Запрет запуска объектов. Вы можете запретить запуск исполняемых файлов, скриптов, файлов офисного формата.

      Ограничения

      Завершить процессы критически важных системных объектов (англ. System Critical Object, SCO) невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.

      Аргументы

      Для настройки задачи Завершение процесса вам нужно задать следующие аргументы для скрипта:

      --targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.

      --caseSensitive true|false – включение режима учета регистра при поиске файла. Обязательный аргумент. Введите этот аргумент вручную.

      --path – путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.

      --md5hash – MD5-хеш файла. Скрипт получает этот аргумент из события.

      --sha256hash – SHA256-хеш файла. Скрипт получает этот аргумент из события.

      Примеры

      python3 terminateProcess.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\file.exe' --caseSensitive true

      python3 terminateProcess.py --targetHost 004c7fcd-8940-4d62-8a94-911932dc861b --path 'C:\Folder\' --caseSensitive false --md5hash 123456789101234567890123456789012

    7. В поле Обработчики укажите количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.
    8. В поле Описание укажите произвольное описание правила реагирования.
    9. В поле Фильтр определите условия, при соответствии которым события будут обрабатываться с применением правила реагирования.
  3. Сохраните параметры и установите сервис коррелятора на сервере или перезапустите действующий коррелятор, чтобы применить параметры.

В результате при получении корреляционного события с определенными полями срабатывает правило реагирования в KUMA, выполняются EDR-действия и создается задача в Kaspersky Security Center. Записи можно посмотреть в журналах Kaspersky Security Center и Kaspersky Endpoint Security.

В начало
[Topic 300739]