Реагирование с помощью Континент 4

Континент 4 – это решение, обеспечивающее следующие средства защиты вашей корпоративной сети:

• Сетевой экран – фильтрация сетевого трафика для защиты сети от несанкционированного доступа.
• Защита от вторжений и атак – выявление и блокирование подозрительных действий для обеспечения целостности системы.
• VPN-шлюз – создание безопасных туннелей для передачи данных между сетями вашей организации.
• Контроль доступа – управление доступом пользователей к внутренним и внешним сетевым ресурсам на основе правил и политик безопасности.
• Шифрование данных – использование криптографических алгоритмов для защиты передаваемых данных.

Поддерживается Континент 4 версии 4.1.7.

Вы можете реагировать на алерты и инциденты с помощью Континент 4, если вы ранее настроили интеграцию между Open Single Management Platform и службой запуска скриптов, а также создали плейбук, который запустит скрипт для реагирования.

Вы можете создавать плейбуки, которые будут выполнять следующие действия по реагированию с помощью Континент 4:

• Блокировать IP-адреса и URL.

  Континент 4 заблокирует IP-адреса и URL. Чтобы разблокировать IP-адреса или URL, которые вы заблокировали, вам нужно создать и запустить другой плейбук.

• Блокировать индикаторы компрометации (Indicators of Compromise, далее также IoC).

  Континент 4 заблокирует наблюдаемые объекты, которые вы указали в триггере плейбука.

Вы можете скачать скрипт, перейдя по этой ссылке:

Загрузить скрипт

Логин и пароль для доступа к Континент 4 хранятся в конфигурационном файле env.sample. Вам нужно скопировать информацию из этого файла в новый файл ENV, который вы создаете, и указать необходимые параметры в новом файле.

Для запуска скрипта требуется Python 3.10.

Чтобы выполнить действие по реагированию с помощью Континент 4, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня или Аналитик 2-го уровня.

Чтобы запустить скрипт для реагирования с помощью Континент 4:

1. В главном меню перейдите в раздел Мониторинг и отчеты, а затем в разделах Алерты или Инциденты нажмите на идентификатор нужного алерта или инцидента.
2. Нажмите на кнопку Выбрать плейбук и в открывшемся окне выберите плейбук, который вы создали для реагирования с помощью Континент 4.
3. Нажмите на кнопку Запустить.

   Выбранный плейбук запустит скрипт для реагирования с помощью Континент 4.

   Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Результат запуска плейбука доступен в деталях алерта или инцидента на вкладке История.

В начало