Содержание
- Правила реагирования
Правила реагирования
Правила реагирования запускают для заданных событий автоматическое выполнение задач Kaspersky Security Center, действия по реагированию для Kaspersky Endpoint Detection and Response, KICS/KATA, Active Directory и запуск пользовательского скрипта.
Автоматическое выполнение задач Kaspersky Security Center, Kaspersky Endpoint Detection and Response, KICS/KATA и Active Directory по правилам реагирования доступно при интеграции с перечисленными программами.
Вы можете настроить правила реагирования в разделе Ресурсы → Реагирование, а затем выбрать созданное правило реагирования в раскрывающемся списке в настройках коррелятора. Правила реагирования также можно настроить напрямую в настройках коррелятора.
Правила реагирования для Kaspersky Security Center
Вы можете настроить правила реагирования для автоматического запуска задач антивирусной проверки и обновления на активах Kaspersky Security Center.
При создании и изменении правил реагирования для Kaspersky Security Center вам требуется задать значения для следующих параметров.
Параметры правила реагирования
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Тип |
Обязательный параметр, доступен при интеграции KUMA с Kaspersky Security Center. Тип правила реагирования, ksctasks. |
Задача Kaspersky Security Center |
Обязательный параметр. Название задачи Kaspersky Security Center, которую требуется запустить. Задачи должны быть созданы заранее, их названия должны начинаться со слова " С помощью KUMA можно запустить следующие типы задач Kaspersky Security Center:
|
Поле события |
Обязательный параметр. Определяет поле события для актива, для которого нужно запустить задачу Kaspersky Security Center. Возможные значения:
|
Обработчики |
Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис. |
Описание |
Описание правила реагирования. Вы можете добавить до 4000 символов в кодировке Unicode. |
Фильтр |
Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Для отправки запросов в Kaspersky Security Center необходимо убедиться, что Kaspersky Security Center доступен по протоколу UDP.
Если правила реагирования принадлежат Общему тенанту, то в качестве доступных для выбора задач Kaspersky Security Center отображаются задачи от сервера Kaspersky Security Center, к которому подключен главный тенант.
Если в правиле реагирования выбрана задача, которая отсутствует на сервере Kaspersky Security Center, к которому подключен тенант, для активов этого тенанта задача не будет выполнена. Такая ситуация может возникнуть, например, когда два тенанта используют общий коррелятор.
В началоПравила реагирования для пользовательского скрипта
Вы можете создать скрипт с командами, которые требуется выполнить на сервере KUMA при обнаружении выбранных событий, и настроить правила реагирования для автоматического запуска этого скрипта. В этом случае программа запустит скрипт при получении событий, соответствующих правилам реагирования.
Файл скрипта хранится на сервере, где установлен сервис коррелятора, использующий ресурс реагирования: /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts. Пользователю kuma
этого сервера требуются права на запуск скрипта.
При создании и изменении правил реагирования для произвольного скрипта вам требуется задать значения для следующих параметров.
Параметры правила реагирования
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Тип |
Обязательный параметр. Тип правила реагирования, script. |
Время ожидания |
Количество секунд, в течение которого должно завершиться выполнение скрипта. Если это время превышено, выполнение скрипта прерывается. |
Название скрипта |
Обязательный параметр. Имя файла скрипта. Если ресурс реагирования прикреплен к сервису коррелятора, но в папке /opt/kaspersky/kuma/correlator/<Идентификатор коррелятора>/scripts файл скрипта отсутствует, коррелятор не будет работать. |
Аргументы скрипта |
Параметры или значения полей событий, которые необходимо передать скрипту. Если в скрипте производятся какие-либо действия с файлами, к ним следует указывать абсолютный путь. Параметры можно обрамлять кавычками ("). Имена полей событий передаются в формате Пример: |
Обработчики |
Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис. |
Описание |
Описание ресурса. Вы можете добавить до 4000 символов в кодировке Unicode. |
Фильтр |
Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Правила реагирования для KICS for Networks
Вы можете настроить правила реагирования для автоматического запуска действий по реагированию на активах KICS for Networks. Например, изменить статус актива в KICS for Networks.
При создании и изменении правил реагирования для KICS for Networks вам требуется задать значения для следующих параметров.
Параметры правила реагирования
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Тип |
Обязательный параметр. Тип правила реагирования, Реагирование через KICS/KATA. |
Поле события |
Обязательный параметр. Определяет поле события для актива, для которого нужно выполнить действия по реагированию. Возможные значения:
|
Задача KICS for Networks |
Действие по реагированию, которое требуется выполнить при получении данных, соответствующих фильтру. Доступны следующие типы действий по реагированию:
При срабатывании правила реагирования из KUMA в KICS for Networks будет отправлен API-запрос на изменение статуса указанного устройства на Разрешенное или Неразрешенное. |
Обработчики |
Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис. |
Описание |
Описание ресурса. Вы можете добавить до 4000 символов в кодировке Unicode. |
Фильтр |
Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Правила реагирования для Kaspersky Endpoint Detection and Response
Вы можете настроить правила реагирования для автоматического запуска действий по реагированию на активах Kaspersky Endpoint Detection and Response. Например, вы можете настроить автоматическую изоляцию актива от сети.
При создании и изменении правил реагирования для Kaspersky Endpoint Detection and Response вам требуется задать значения для следующих параметров.
Параметры правила реагирования
Параметр |
Описание |
---|---|
Поле события |
Обязательный параметр. Определяет поле события для актива, для которого нужно выполнить действия по реагированию. Возможные значения:
|
Тип задачи |
Действие по реагированию, которое требуется выполнить при получении данных, соответствующих фильтру. Доступны следующие типы действий по реагированию:
Хотя бы одно из указанных выше полей должно быть заполнено.
Все перечисленные операции выполняются на активах с Kaspersky Endpoint Agent для Windows. На активах с Kaspersky Endpoint Agent для Linux выполняется только запуск программы. На программном уровне возможность создания правил запрета и сетевой изоляции для активов с Kaspersky Endpoint Agent для Linux не ограничена. KUMA и Kaspersky Endpoint Detection and Response не уведомляют о неуспешном применении этих правил. |
Обработчики |
Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис. |
Описание |
Описание правила реагирования. Вы можете добавить до 4000 символов в кодировке Unicode. |
Фильтр |
Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Правила реагирования через Active Directory
Правила реагирования через Active Directory определяют действия, которые будут применяться к учетной записи в случае срабатывания правила.
При создании и изменении правил реагирования через Active Directory вам требуется задать значения для следующих параметров.
Параметры правила реагирования
Параметр |
Описание |
---|---|
Название |
Обязательный параметр. Уникальное имя ресурса. Должно содержать от 1 до 128 символов в кодировке Unicode. |
Тенант |
Обязательный параметр. Название тенанта, которому принадлежит ресурс. |
Тип |
Обязательный параметр. Тип правила реагирования, Реагирование через Active Directory. |
Источник идентификатора учетной записи |
Поле события, откуда будет взято значение идентификатора учетной записи Active Directory. Возможные значения:
|
Команда Active Directory |
Команда, которая будет применяться к учетной записи при срабатывании правила реагирования. Доступные значения:
Если в вашем домене Active Directory для учетных записей допускается установка флажка User cannot change password, использование в качестве реагирования сброса пароля учетной записи приведет к коллизии требований к учетной записи: пользователь не сможет аутентифицироваться. Администратору домена потребуется снять один из флажков для затронутой учетной записи: User cannot change password или User must change password at next logon.
|
DN группы |
DistinguishedName группы домена, пользователи которого должны иметь возможность пройти аутентификацию со своими доменными учетными данными, в полях для каждой роли. Пример ввода группы: OU=KUMA users,OU=users,DC=example,DC=domain |
Обработчики |
Количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис. |
Фильтр |
Используется для определения условий, при соответствии которым события будут обрабатываться с применением правила реагирования. В раскрывающемся списке можно выбрать существующий фильтр или Создать новый фильтр. |
Правила реагирования с EDR-действиями
Начиная с версии KUMA 3.4.1 и Kaspersky Endpoint Security для Windows 12.9 добавлена поддержка EDR-действий при реагировании на угрозы. При получении корреляционных событий KUMA выполняет EDR-действия. Для выполнения EDR-действий вам нужно предварительно настроить правила реагирования. В свойствах правил реагирования следует задать аргументы скриптов, которые доступны для скачивания. При срабатывании правила реагирования Kaspersky Endpoint Security выполняет EDR-действия и создает в Kaspersky Security Center следующие задачи:
- onDemandScan.py — проверка важных областей.
- ioCScan.py — поиск индикаторов компрометации.
- quarantineFile.py — помещение файла на карантин.
- deleteFile.py — удаление файла.
- getFile.py — получение файла.
- isolateHost.py — сетевая изоляция компьютера.
- preventExecution.py — запрет запуска объектов.
Для выполнения этой задачи важно убедиться, что в Kaspersky Security Center в разделе <имя политики> → Application settings → Detection and Response → Endpoint Detection and Response переключатель Execution Prevention Disabled находится в неактивном положении.
- startProcess.py — запуск процесса.
- terminateProcess.py — завершение процесса.
При настройке правил реагирования с EDR-действиями мы рекомендуем учитывать нагрузку на компьютер при запуске задач. Если в результате работы правил реагирования скрипты создадут слишком много задач, производительность компьютера может снизиться. Если запросов будет слишком много, будет выполняться ротация запросов независимо от того, был ли выполнен запрос. Kaspersky Endpoint Security позволяет создавать не более 100 задач. При достижении этого ограничения Kaspersky Endpoint Security выполняет ротацию задач в Kaspersky Security Center. Срок жизни задачи составляет 30 дней.
Вы можете контролировать выполнение EDR-действий в консоли администрирования с помощью отчетов. Kaspersky Endpoint Security формирует события с описанием в формате '[Response][kuma] $<script name> - $<date>';. Описание в таком формате позволяет создавать выборки событий для EDR-действий.
В началоНастройка реагирования с EDR-действиями
Предварительные условия
Перед настройкой реагирования с EDR-действиями убедитесь, что выполнены следующие предварительные условия:
- Настроена интеграция с Kaspersky Security Center.
- В Kaspersky Security Center создан отдельный пользователь, у которого есть права на выполнение всех задач.
- Настроена интеграция с Kaspersky Endpoint Security.
- На хосте с коррелятором выполнены следующие действия:
- Установлен Python версии 3.6 или выше и пакет Python KlAkOAPI.
- Скрипты скачаны по ссылке и размещены в директории /opt/kaspersky/kuma/correlator/<Correlator ID>/scripts.
- Скрипты подключены к Kaspersky Security Center.
Поскольку учетные данные не защищены, мы рекомендуем использовать отдельного пользователя Kaspersky Security Center, созданного в п.2, для подключения скриптов к Kaspersky Security Center, а также ограничить доступ к директории со скриптами. Для подключения следует открыть скрипты в режиме редактирования и оформить строки следующим образом:
# KSC connection info
# reads Environment variables by default, change with corresponding values
# KSC host, string, required
kscHost = "kscHost"
# KSC port, required, default is "13299"
kscPort = "13299"
# KSC certificate file path, default is False
kscCert = False
# KSC user, string, required
kscUser = "kscUser"
# KSC password, string, required
kscPassword = "kscPassword"
Настройка реагирования
После того как преварительные условия выполнены, создайте правило реагирования в корреляторе KUMA:
- В разделе KUMA Ресурсы и сервисы → Корреляторы создайте коррелятор или откройте действующий коррелятор в режиме редактирования.
- В мастере создания коррелятора на шаге Реагирование нажмите Добавить правило реагирования и в открывшемся окне Реагирование заполните следующие поля:
- В поле Название укажите произвольное название правила реагирования.
- В поле Тенант укажите название тенанта.
- В раскрывающемся списке Тип укажите тип правила реагирования Запуск скрипта.
- В поле Время ожидания укажите количество секунд, в течение которого должно завершиться выполнение скрипта. Если указанное значение превышено, выполнение скрипта прерывается. Установите значение 10 мин.
- В поле Название скрипта укажите название скрипта. Например, deleteFile.py.
- В поле Аргументы скрипта укажите параметры или значения полей событий, которые необходимо передать скрипту. Чтобы указывать неэкранированные символы в параметрах, используйте одинарные кавычки. Аргументы представлены для каждого скрипта в раскрывающихся блоках.
onDemandScan.py — проверка важных областей
ioCScan.py — поиск индикаторов компрометации
quarantineFile.py — помещение файла на карантин
deleteFile.py — удаление файла
isolateHost.py — сетевая изоляция компьютера
preventExecution.py — запрет запуска объектов
- В поле Обработчики укажите количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.
- В поле Описание укажите произвольное описание правила реагирования.
- В поле Фильтр определите условия, при соответствии которым события будут обрабатываться с применением правила реагирования.
- Сохраните параметры и установите сервис коррелятора на сервере или перезапустите действующий коррелятор, чтобы применить параметры.
В результате при получении корреляционного события с определенными полями срабатывает правило реагирования в KUMA, выполняются EDR-действия и создается задача в Kaspersky Security Center. Записи можно посмотреть в журналах Kaspersky Security Center и Kaspersky Endpoint Security.
В начало