Скрипты скачаны по ссылке и размещены в директории /opt/kaspersky/kuma/correlator/<Correlator ID>/scripts.
Скрипты подключены к Kaspersky Security Center.
Поскольку учетные данные не защищены, мы рекомендуем использовать отдельного пользователя Kaspersky Security Center, созданного в п.2, для подключения скриптов к Kaspersky Security Center, а также ограничить доступ к директории со скриптами. Для подключения следует открыть скрипты в режиме редактирования и оформить строки следующим образом:
# KSC connection info
# reads Environment variables by default, change with corresponding values
# KSC host, string, required
kscHost = "kscHost"
# KSC port, required, default is "13299"
kscPort = "13299"
# KSC certificate file path, default is False
kscCert = False
# KSC user, string, required
kscUser = "kscUser"
# KSC password, string, required
kscPassword = "kscPassword"
Настройка реагирования
После того как преварительные условия выполнены, создайте правило реагирования в корреляторе KUMA:
В разделе KUMA Ресурсы и сервисы → Корреляторы создайте коррелятор или откройте действующий коррелятор в режиме редактирования.
В мастере создания коррелятора на шаге Реагирование нажмите Добавить правило реагирования и в открывшемся окне Реагирование заполните следующие поля:
В поле Название укажите произвольное название правила реагирования.
В поле Тенант укажите название тенанта.
В раскрывающемся списке Тип укажите тип правила реагирования Запуск скрипта.
В поле Время ожидания укажите количество секунд, в течение которого должно завершиться выполнение скрипта. Если указанное значение превышено, выполнение скрипта прерывается. Установите значение 10 мин.
В поле Название скрипта укажите название скрипта. Например, deleteFile.py.
В поле Аргументы скрипта укажите параметры или значения полей событий, которые необходимо передать скрипту. Чтобы указывать неэкранированные символы в параметрах, используйте одинарные кавычки. Аргументы представлены для каждого скрипта в раскрывающихся блоках.
Скрипт onDemandScan автоматически создает и запускает задачу Проверка важных областей при обнаружении определенных событий KUMA. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
Ограничения
Если у вас развернуто решение Kaspersky Sandbox или KATA Sandbox, после обновления плагина управления до версии 12.9 вам нужно переустановить фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования. Это нужно для обновления прав пользователей на новую функциональность поддержки EDR-действий по реагированию на угрозы для KUMA.
Аргументы
Для настройки задачи Проверка важных областей вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--recursive true|false – режим рекурсивной проверки. Введите этот аргумент вручную.
--path – список файлов и папок для выборочной проверки через пробел.
Вы также можете выбрать предустановленный области проверки. В Kaspersky Endpoint Security предустановлены следующие объекты для формирования области проверки:
Моя почта.
Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST).
Системная память.
Объекты автозапуска.
Память, занятая процессами, и исполняемые файлы приложения, которые запускаются при старте операционной системы.
Загрузочные секторы.
Загрузочные секторы жестких и съемных дисков.
Системное резервное хранилище.
Содержимое папки System Volume Information.
Все внешние устройства.
Все жесткие диски.
Все сетевые диски.
Для этого вам нужно в скрипте onDemandScan для параметра "enabled" соответствующей области проверки установить значение True или False:
Скрипт onDemandScan автоматически создает и запускает задачу Проверка важных областей при обнаружении определенных событий KUMA. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы.
Ограничения
Если у вас развернуто решение Kaspersky Sandbox или KATA Sandbox, после обновления плагина управления до версии 12.9 вам нужно переустановить фоновое соединение между Kaspersky Security Center Web Console и Сервером администрирования. Это нужно для обновления прав пользователей на новую функциональность поддержки EDR-действий по реагированию на угрозы для KUMA.
Аргументы
Для настройки задачи Проверка важных областей вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--recursive true|false – режим рекурсивной проверки. Введите этот аргумент вручную.
--path – список файлов и папок для выборочной проверки через пробел.
Вы также можете выбрать предустановленный области проверки. В Kaspersky Endpoint Security предустановлены следующие объекты для формирования области проверки:
Моя почта.
Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST).
Системная память.
Объекты автозапуска.
Память, занятая процессами, и исполняемые файлы приложения, которые запускаются при старте операционной системы.
Загрузочные секторы.
Загрузочные секторы жестких и съемных дисков.
Системное резервное хранилище.
Содержимое папки System Volume Information.
Все внешние устройства.
Все жесткие диски.
Все сетевые диски.
Для этого вам нужно в скрипте onDemandScan для параметра "enabled" соответствующей области проверки установить значение True или False:
Скрипт iocScan автоматически создает и запускает задачу Поиск IOC при обнаружении определенных событий KUMA. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.
Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.
Ограничения
По умолчанию Kaspersky Endpoint Security выполняет поиск IOC только в важных областях компьютера, таких как папки Загрузки, Рабочий стол, папка с временными файлами операционной системы и другие.
По умолчанию выбраны следующие журналы событий: журнал событий приложений, журнал системных событий и журнал событий безопасности.
Аргументы
Для настройки задачи Поиск IOC вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--iocZip – путь к ZIP-архиву с IOC-файлом в кодировке base64, по которым требуется выполнять поиск. Обязательный аргумент. Введите этот аргумент вручную.
--isolateHost true|false – изоляция компьютера от сети при обнаружении индикатора компрометации для предотвращения распространения угрозы. Обязательный аргумент. Введите этот аргумент вручную.
--quarantineObject true|false – удаление вредоносного объекта при обнаружении индикатора компрометации. Перед удалением объекта Kaspersky Endpoint Security формирует его резервную копию на тот случай, если впоследствии понадобится восстановить объект. Kaspersky Endpoint Security помещает резервную копию на карантин. Обязательный аргумент. Введите этот аргумент вручную.
--scanCriticalAreas true|false – запуск задачи Проверка важных областей при обнаружении индикатора компрометации. По умолчанию Kaspersky Endpoint Security проверяет память ядра, запущенные процессы и загрузочные секторы. Обязательный аргумент. Введите этот аргумент вручную.
Скрипт quarantineFile автоматически создает и запускает задачу Помещение файла на карантин при получении в KUMA определенных событий. Карантин – это специальное локальное хранилище на компьютере. Пользователь может поместить на карантин файлы, которые считает опасными для компьютера. Файлы на карантине хранятся в зашифрованном виде и не угрожают безопасности устройства.
Ограничения
Задача Помещение файла на карантин имеет следующие ограничения:
Размер файла не должен превышать 100 МБ.
Критически важные системные объекты (англ. System Critical Object, SCO) поместить на карантин невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
Аргументы
Для настройки задачи Помещение файла на карантин вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--path – путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.
--md5hash – MD5-хеш файла. Скрипт получает этот аргумент из события.
--sha256hash – SHA256-хеш файла. Скрипт получает этот аргумент из события.
Скрипт deleteFile автоматически создает и запускает задачу Удаление файла при обнаружении определенных событий KUMA. Например, вы можете удаленно удалить файл при реагировании на угрозы.
Ограничения
Критически важные системные объекты (англ. System Critical Object, SCO) удалить невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
Аргументы
Для настройки задачи Удаление файла вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--searchInSubfolders true|false – поиск файла в подпапках. Обязательный аргумент. Введите этот аргумент вручную.
--path – путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.
--md5hash – MD5-хеш файла. Скрипт получает этот аргумент из события.
--sha256hash – SHA256-хеш файла. Скрипт получает этот аргумент из события.
Скрипт getFile автоматически создает и запускает задачу Получение файла при получении в KUMA определенных событий. Например, вы можете настроить получение файла журнала событий, который создает стороннее приложение. В результате выполнения задачи файл будет сохранен в карантине. Карантин – это специальное локальное хранилище на компьютере. Вы можете загрузить этот файл на компьютер из карантина в Web Console ([[NWC]]Операции[[]] → [[NWC]]Хранилища[[]] → [[NWC]]Карантин[[]]). При этом на компьютере пользователя файл остается в исходной папке.
Ограничение
Размер файла не должен превышать 100 МБ.
Аргументы
Для настройки задачи Получение файла вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--path – путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.
--md5hash – MD5-хеш файла. Скрипт получает этот аргумент из события.
--sha256hash – SHA256-хеш файла. Скрипт получает этот аргумент из события.
Скрипт isolateHost автоматически изолирует компьютер из сети при обнаружении определенных событий KUMA.
После включения Сетевой изоляции приложение разрывает все активные и блокирует все новые сетевые соединения TCP/IP на компьютере, кроме следующих соединений:
соединения, указанные в исключениях из Сетевой изоляции;
Скрипт preventExecution автоматически запрещает запуск объектов при обнаружении определенных событий KUMA. Запрет запуска объектов позволяет контролировать запуск исполняемых файлов и скриптов, а также открытие файлов офисного формата. Таким образом, вы можете, например, запретить запуск приложений, использование которых считаете небезопасным. В результате распространение угрозы может быть остановлено. Запрет запуска объектов поддерживает определенный набор расширений файлов офисного формата и определенный набор интерпретаторов скриптов. Правило запрета запуска – это набор критериев, которые приложение учитывает при реагировании на запуск объекта, например, при блокировании запуска объекта. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.
Kaspersky Endpoint Security контролирует создание новых правил запрета запуска и игнорирует повторяющиеся правила. То есть, если запуск объекта уже запрещен, то приложение не будет создавать новое правило. При этом все параметры правила должны совпадать (путь до файла и хеш файла), и правило должно быть включено.
Ограничения
Запрет запуска объектов имеет следующие ограничения:
Правила запрета не распространяются на файлы, расположенные на компакт-дисках или в ISO-образах. Приложение не будет блокировать исполнение или открытие этих файлов.
Невозможно запретить запуск критически важных системных объектов (англ. System Critical Object, SCO). К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
Не рекомендуется создавать более 5000 правил запрета запуска, поскольку это может привести к нестабильности системы.
Аргументы
Для настройки Запрета запуска объектов вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--hash – MD5-хеш файла. Обязательный аргумент.Скрипт получает этот аргумент из события.
--path – полный путь к файлу или путь к файлу, если вы введете хеш файла. Обязательный аргумент. Скрипт получает этот аргумент из события.
Скрипт startProcess автоматически создает и запускает задачу Запуск процесса при обнаружении определенных событий KUMA. Например, вы можете удаленно запускать утилиту, которая создает файл с конфигурацией компьютера. Далее с помощью задачи Получение файла, вы можете получить созданный файл в Kaspersky Security Center Web Console.
Аргументы
Для настройки задачи Запуск процесса вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--executablePath – путь к файлу. Обязательный аргумент. Вы можете передать этот аргумент из события или ввести значение вручную.
--arguments – дополнительные аргументы для запуска процесса. Введите эти аргументы вручную.
--workingFolder – путь к рабочей папке процесса. Введите этот аргумент вручную.
Скрипт terminateProcess автоматически создает и запускает задачу Завершение процесса при обнаружении определенных событий KUMA. Например, вы можете удаленно завершить работу утилиты проверки скорости интернета, которая была запущена с помощью задачи Запуск процесса.
Если вы хотите запретить запуск файла, вы можете настроить компонент Запрет запуска объектов. Вы можете запретить запуск исполняемых файлов, скриптов, файлов офисного формата.
Ограничения
Завершить процессы критически важных системных объектов (англ. System Critical Object, SCO) невозможно. К SCO относятся файлы, необходимые для работы операционной системы и приложения Kaspersky Endpoint Security.
Аргументы
Для настройки задачи Завершение процесса вам нужно задать следующие аргументы для скрипта:
--targetHost – идентификатор компьютера, на котором нужно запустить скрипт. Обязательный аргумент. Скрипт получает этот аргумент из события.
--caseSensitive true|false – включение режима учета регистра при поиске файла. Обязательный аргумент. Введите этот аргумент вручную.
--path – путь к файлу. Обязательный аргумент. Скрипт получает этот аргумент из события.
--md5hash – MD5-хеш файла. Скрипт получает этот аргумент из события.
--sha256hash – SHA256-хеш файла. Скрипт получает этот аргумент из события.
В поле Обработчики укажите количество обработчиков, которые сервис может запускать одновременно для параллельной обработки правил реагирования. По умолчанию количество обработчиков соответствует количеству виртуальных процессоров сервера, на котором установлен сервис.
В поле Описание укажите произвольное описание правила реагирования.
В поле Фильтр определите условия, при соответствии которым события будут обрабатываться с применением правила реагирования.
Сохраните параметры и установите сервис коррелятора на сервере или перезапустите действующий коррелятор, чтобы применить параметры.
В результате при получении корреляционного события с определенными полями срабатывает правило реагирования в KUMA, выполняются EDR-действия и создается задача в Kaspersky Security Center. Записи можно посмотреть в журналах Kaspersky Security Center и Kaspersky Endpoint Security.