Действия по реагированию

Действия по реагированию можно запустить одним из следующих способов:

• вручную, как описано в этом разделе;
• в рамках плейбука.

  В этом случае при создании или изменении плейбука вы можете настроить автоматический запуск действия по реагированию или запросить подтверждение пользователя перед запуском в плейбуке. По умолчанию ручное подтверждение действий по реагированию выключено.

Прерывание процессов

Действие по реагированию Прервать процесс позволяет удаленно завершать процессы на устройствах. Вы можете выполнить действие по реагированию Прервать процесс для наблюдаемых объектов или активов.

Вы можете запустить действие по реагированию Прервать процесс одним из следующих способов:

• в деталях алерта или инцидента;
• в сведениях об устройстве;
• из графа расследования.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы выполнить действие по реагированию Прервать процесс, вам должна быть присвоена одна из следующих XDR-ролей: Главный администратор, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Администратор тенанта.

Запуск действия по реагированию может занять до 15 минут из-за интервала синхронизации между управляемым устройством и Сервером администрирования.

Запуск процесса завершения для наблюдаемых объектов

Чтобы запустить процесс завершения для наблюдаемых объектов:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором алерта.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором инцидента.
2. В открывшемся окне выберите вкладку Наблюдаемые объекты.
3. В списке наблюдаемых объектов выберите один или несколько наблюдаемых объектов, для которых вы хотите прервать процесс. Наблюдаемые объекты могут включать:
   • MD5
   • SHA256
4. Нажмите на кнопку Прервать процесс.
5. В открывшейся панели Прервать процесс выберите активы, для которых вы хотите прервать процесс.
6. Нажмите на кнопку Прервать.

Процесс прерван.

Запуск процесса завершения для активов

Чтобы выполнить действие по реагированию Прервать процесс для активов:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором алерта.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором инцидента.
2. В открывшемся окне выберите вкладку Активы.
3. В списке активов выберите один или несколько нужных устройств.
4. Нажмите на кнопку Выбрать действие по реагированию, а затем на кнопку Прервать процесс.
5. В открывшейся панели Прервать процесс укажите один из следующих параметров:
   • PID. Идентификатор процесса.

     Для действия по реагированию Прервать процесс по PID с фиксированной областью, если активы действия по реагированию принадлежат одному Серверу администрирования, вы можете запустить это действие по реагированию только для одного актива за раз.

     Для действия по реагированию Прервать процесс PID с изменяемой областью действия это действие по реагированию выполнить невозможно.

   • Хеш (алгоритм хеширования MD5 или SHA256) и Путь к файлу процесса.
6. Нажмите на кнопку Прервать.

Процесс прерван.

Запуск процесса завершения из графа расследования

Параметр доступен, если граф расследования построен.

Чтобы выполнить действия Завершить процесс из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором инцидента.
2. В открывшемся окне Сведения об инциденте нажмите на кнопку Посмотреть на графе.

   Откроется окно графа расследования.

3. Нажмите на имя нужного алерта, а затем нажмите на Просмотреть информацию.
4. В открывшемся окне выберите вкладку Наблюдаемые объекты.
5. В списке наблюдаемых объектов выберите один или несколько наблюдаемых объектов, для которых вы хотите прервать процесс. Наблюдаемые объекты могут включать:
   • MD5
   • SHA256
6. Нажмите на кнопку Прервать процесс.
7. В открывшейся панели Прервать процесс выберите активы, для которых вы хотите прервать процесс.
8. Нажмите на кнопку Прервать.

Процесс прерван.

Перемещение устройств в другую группу администрирования

В качестве действия по реагированию вы можете переместить устройство в другую группу администрирования Open Single Management Platform. Это может потребоваться, когда анализ алерта или инцидента показывает, что уровень защиты устройства низкий. При перемещении устройства в другую группу администрирования к устройству применяются групповые политики и задачи.

Группа администрирования, в которую вы перемещаете устройство, должна принадлежать тому же тенанту, что и устройство.

Вы можете переместить устройство в другую группу администрирования одним из следующих способов:

• из деталей алерта или инцидента;
• из сведений об устройстве;
• из графа расследования.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы переместить устройство в другую группу администрирования, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Запуск действия по реагированию может занять до 15 минут из-за интервала синхронизации между управляемым устройством и Сервером администрирования.

Перемещение устройства в другую группу администрирования из деталей алерта или инцидента

Чтобы переместить устройство в другую группу администрирования из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, которое требуется переместить.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, которое требуется переместить.
2. В открывшемся окне выберите вкладку Активы.
3. Установите флажок рядом с устройством, которое нужно переместить в другую группу администрирования.

   Вы можете выбрать несколько устройств, если они управляются одним Сервером администрирования: главным, подчиненным или виртуальным.

4. В раскрывающемся списке Выбрать действия по реагированию выберите Переместить в группу.

   В открывшемся окне Переместить в группу в правой части экрана отображаются группы администрирования Сервера администрирования, который управляет выбранным устройством.

5. Выберите группу администрирования, в которую вы хотите переместить устройство или устройства, и нажмите на кнопку Переместить.

Устройство перемещено в выбранную группу администрирования. Соответствующее сообщение отобразится на экране.

Перемещение устройства в другую группу администрирования из сведений устройства

Чтобы переместить устройство в другую группу администрирования из сведений устройства:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, которое требуется переместить.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, которое требуется переместить.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.
4. В раскрывающемся списке Выбрать действия по реагированию выберите Переместить в группу.

   В открывшемся окне Переместить в группу в правой части экрана отображаются группы администрирования Сервера администрирования, который управляет выбранным устройством.

5. Выберите группу администрирования, в которую вы хотите переместить устройство или устройства, и нажмите на кнопку Переместить.

Устройство перемещено в выбранную группу администрирования. Соответствующее сообщение отобразится на экране.

Перемещение устройства в другую группу администрирования из графа расследования

Этот параметр доступен, если граф расследования построен.

Чтобы переместить устройство в другую группу администрирования из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, которое требуется переместить.
2. Нажмите на кнопку Посмотреть на графе.
3. В открывшемся графе расследования нажмите на имя устройства, чтобы открыть сведения об устройстве.
4. В раскрывающемся списке Выбрать действия по реагированию выберите Переместить в группу.

   В открывшемся окне Переместить в группу в правой части экрана отображаются группы администрирования Сервера администрирования, который управляет выбранным устройством.

5. Выберите группу администрирования, в которую вы хотите переместить устройство или устройства, и нажмите на кнопку Переместить.

Устройство перемещено в выбранную группу администрирования. Соответствующее сообщение отобразится на экране.

Запуск поиска вредоносного ПО

Чтобы предотвратить распространение угрозы на зараженном устройстве, вы можете запустить поиск вредоносного ПО одним из следующих способов:

• из деталей алерта или инцидента;
• из сведений об устройстве;
• из графа расследования.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы выполнить действие по реагированию Поиск вредоносного ПО, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Запуск действия по реагированию может занять до 15 минут из-за интервала синхронизации между управляемым устройством и Сервером администрирования.

Запуск поиска вредоносного ПО из деталей алерта или инцидента

Чтобы запустить поиск вредоносного ПО на устройстве из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий устройство, которое требуется проверить.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, содержащий устройство, которое требуется проверить.
2. В открывшемся окне выберите вкладку Активы.
3. Установите флажок рядом с устройством, которое нужно проверить.

   При необходимости вы можете выбрать несколько устройств.

4. В раскрывающемся списке Выбрать действия по реагированию выберите Запустить проверку на вредоносное ПО.

   В правой части экрана откроется окно Антивирусная проверка.

5. Выберите тип поиска вредоносного ПО:
   • Полная проверка

     Вы можете включить переключатель Сетевые диски, чтобы включить в проверку сетевые устройства. По умолчанию параметр выключен.

     Полная проверка может замедлить работу устройства из-за повышенной нагрузки на его операционную систему.

   • Проверка важных областей

     Если вы выберете этот тип, выполняется проверка памяти ядра, запущенных процессов и загрузочных секторов диска.

   • Выборочная проверка

     В поле Указать путь к файлу укажите путь к файлу, который вы хотите проверить. Если вы хотите задать несколько путей, нажмите на кнопку Добавить путь и укажите путь.

6. Нажмите на кнопку Проверить.

Выбранный тип поиска вредоносного ПО запущен.

Запуск поиска вредоносного ПО из сведений об устройстве

Чтобы запустить поиск вредоносного ПО из сведений об устройстве:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий устройство, которое требуется проверить.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, содержащий устройство, которое требуется проверить.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.

   При необходимости вы можете нажать на кнопку Изменить в KUMA, чтобы изменить параметры устройства в Консоли KUMA.

4. В раскрывающемся списке Выбрать действия по реагированию выберите Запустить проверку на вредоносное ПО.

   В правой части экрана откроется окно Антивирусная проверка.

5. Выберите тип поиска вредоносного ПО. Типы описаны на шаге 5 в разделе Запуск поиска вредоносного ПО из деталей алерта или инцидента.
6. Нажмите на кнопку Проверить.

Выбранный тип поиска вредоносного ПО запущен.

Поиск вредоносного ПО из графа расследования

Этот параметр доступен, если граф расследования построен.

Чтобы запустить поиск вредоносного ПО на устройстве из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, содержащий устройство, которое требуется проверить.
2. Нажмите на кнопку Посмотреть на графе.
3. В открывшемся графе расследования нажмите на имя устройства, чтобы открыть сведения об устройстве.
4. В раскрывающемся списке Выбрать действия по реагированию выберите Запустить проверку на вредоносное ПО.

   В правой части экрана откроется окно Антивирусная проверка.

5. Выберите тип поиска вредоносного ПО. Типы описаны на шаге 5 в разделе Запуск поиска вредоносного ПО из деталей алерта или инцидента.
6. Нажмите на кнопку Проверить.

Выбранный тип поиска вредоносного ПО запущен.

Если поиск вредоносного ПО завершен успешно, на экране отображается соответствующее сообщение, а в таблице алертов или в таблице инцидентов отображается статус действия Успешно. В противном случае отображается сообщение об ошибке, а алерт или инцидент отображается со статусом действия Ошибка.

После завершения поиска вредоносного ПО вы можете просмотреть результат.

Просмотр результатов поиска вредоносного ПО

После завершения поиска вредоносного ПО вы можете просмотреть результат одним из следующих способов:

• в деталях алерта или инцидента;
• в истории реагирования;
• в сведениях о плейбуке.

Чтобы просмотреть результат поиска вредоносного ПО:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты и выполните одно из следующих действий:
   • Если вы хотите просмотреть результат из деталей алерта или инцидента, перейдите в раздел Алерты или Инциденты и нажмите на идентификатор алерта или инцидента, для которого был выполнен поиск вредоносного ПО. В открывшемся окне выберите вкладку История, а затем на вкладку История реагирований, чтобы отобразить список событий.
   • Если вы хотите просмотреть результат в истории действий по реагированию, перейдите в раздел История реагирований.
   • Если вы хотите просмотреть результат поиска вредоносного ПО из плейбука, перейдите в раздел Плейбуки и нажмите на название плейбука, для которого был выполнен поиск вредоносного ПО. В открывшемся окне выберите вкладку История для просмотра списка событий.
2. В столбце Статус действия нажмите на статус события, для которого вы хотите просмотреть результаты поиска вредоносного ПО.

   В открывшемся окне отображается таблица обнаружений. В поле Сервер администрирования вы можете выбрать Сервер администрирования, для которого отображается таблица обнаружений.

   Таблица содержит следующие столбцы:

   • Устройство. Имя устройства или идентификатор.
   • Путь. Путь к файлу.
   • Хеш. SHA256.
   • Название детектируемого объекта. Название обнаружения, которое произошло на устройстве.
   • Статус действия. Результат обработки угрозы.
   • Пользователь. Учетная запись пользователя, связанного с обнаружением.

Обновление баз

Чтобы быстро обнаруживать угрозы и поддерживать уровень защиты клиентского устройства в актуальном состоянии, необходимо регулярно обновлять базы и модули приложений на устройстве.

Вы можете обновить базы на устройстве одним из следующих способов:

• из деталей алерта или инцидента;
• из сведений об устройстве;
• из графа расследования.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы обновить базы данных на устройстве, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Запуск действия по реагированию может занять до 15 минут из-за интервала синхронизации между управляемым устройством и Сервером администрирования.

Обновление баз из деталей алерта или инцидента

Чтобы обновить базы данных на устройстве из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, на котором требуется обновить базы данных.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, на котором требуется обновить базы данных.
2. В открывшемся окне выберите вкладку Активы.
3. Установите флажок рядом с устройствами, на которых необходимо обновить базы данных.

   При необходимости вы можете выбрать несколько устройств.

4. В раскрывающемся списке Выбрать действия по реагированию выберите Обновить базы.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Обновление баз данных из сведений об устройстве

Чтобы обновить базы данных на устройстве из сведений об устройстве:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, на котором требуется обновить базы данных.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, на котором требуется обновить базы данных.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.
4. В раскрывающемся списке Выбрать действия по реагированию выберите Обновить базы.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Обновление баз данных из графа расследования

Этот параметр доступен, если граф расследования построен.

Чтобы обновить базы данных на устройстве из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, на котором требуется обновить базы данных.
2. Нажмите на кнопку Посмотреть на графе.
3. В открывшемся графе расследования нажмите на имя устройства, чтобы открыть сведения об устройстве.
4. В раскрывающемся списке Выбрать действия по реагированию выберите Обновить базы.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Перемещение файлов на карантин

Чтобы предотвратить распространение угрозы, вы можете переместить устройство, на котором находится файл, на карантин одним из следующих способов:

• из деталей алерта или инцидента;
• из свойств устройства;
• из телеметрии события;
• из графа расследования.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы переместить устройство, на котором находится файл, на карантин, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Запуск действия по реагированию может занять до 15 минут из-за интервала синхронизации между управляемым устройством и Сервером администрирования.

Реагирование из деталей алерта или инцидента

Чтобы переместить устройство на карантин из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, которое требуется переместить.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, которое требуется переместить.
2. В открывшемся окне выберите вкладку Активы.
3. Установите флажок рядом с устройством, которое нужно переместить на карантин.

   При необходимости вы можете выбрать несколько устройств.

4. В раскрывающемся списке Выбрать действия по реагированию выберите Поместить на карантин.
5. В открывшемся окне в правой части экрана укажите следующую информацию в соответствующих полях:
   • Хеш файла.

     Вы можете выбрать SHA256 или MD5.

   • Путь к файлу.
6. Нажмите на кнопку Переместить.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из сведений об устройстве

Чтобы переместить устройство на карантин из сведений об устройстве:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, которое требуется переместить.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, которое требуется переместить.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.
4. В раскрывающемся списке Выбрать действия по реагированию выберите Поместить на карантин.
5. В открывшемся окне в правой части экрана укажите следующую информацию в соответствующих полях:
   • Хеш файла.

     Вы можете выбрать SHA256 или MD5.

   • Путь к файлу.
6. Нажмите на кнопку Переместить.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из телеметрии события

Чтобы переместить устройство на карантин из телеметрии события:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, которое требуется переместить.
2. В открывшемся окне выберите вкладку Подробнее и выполните одно из следующих действий:
   • Нажмите на название нужного события и выберите устройство.
   • Нажмите на кнопку Поиск угроз, чтобы перейти в раздел Поиск угроз и выберите нужное устройство.

   Вы также можете выбрать вкладку Наблюдаемые объекты, установить флажок рядом с файлом, который вы хотите переместить на карантин, и нажать на кнопку Переместить на карантин.

3. В раскрывающемся списке Выбрать действия по реагированию выберите Поместить на карантин.
4. В открывшемся окне в правой части экрана укажите следующую информацию в соответствующих полях:
   • Хеш файла.

     Вы можете выбрать SHA256 или MD5.

   • Путь к файлу.
5. Нажмите на кнопку Переместить.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из графа расследования

Этот параметр доступен, если граф расследования построен.

Чтобы переместить устройство на карантин из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, которое требуется переместить.
2. В открывшемся окне нажмите на кнопку Посмотреть на графе.

   Откроется окно графа расследования.

3. Нажмите на имя устройства, чтобы открыть сведения об устройстве.
4. В раскрывающемся списке Выбрать действия по реагированию выберите Поместить на карантин.
5. В открывшемся окне в правой части экрана укажите следующую информацию в соответствующих полях:
   • Хеш файла.

     Вы можете выбрать SHA256 или MD5.

   • Путь к файлу.
6. Нажмите на кнопку Переместить.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Изменение статуса авторизации устройств

Вы можете изменить статус авторизации устройства, когда анализ алерта или инцидента показывает, что уровень защиты устройства низкий или устройство наносит вред вашей инфраструктуре.

Это действие по реагированию выполняется на устройствах с установленным KICS for Networks.

Вы можете изменить статус авторизации устройства одним из следующих способов:

• из деталей алерта или инцидента;
• из свойств устройства;
• из телеметрии события;
• из графа расследования.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы изменить статус авторизации устройства, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Изменение статуса авторизации устройств из деталей алерта или инцидента

Чтобы изменить статус авторизации устройства из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, статус авторизации которого необходимо изменить.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, статус авторизации которого необходимо изменить.
2. В открывшемся окне выберите вкладку Активы.
3. Установите флажок рядом с устройством, статус авторизации которого нужно изменить.

   При необходимости вы можете выбрать несколько устройств.

4. В раскрывающемся списке Выбрать действия по реагированию выберите Изменить статус авторизации.
5. В открывшемся окне в правой части экрана выберите новый статус устройства (авторизован или не авторизован) и нажмите на кнопку Изменить.

   Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Изменение статуса авторизации устройств из сведений об устройстве

Чтобы изменить статус авторизации устройства из сведений об устройстве:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, статус авторизации которого необходимо изменить.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, статус авторизации которого необходимо изменить.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.
4. В раскрывающемся списке Выбрать действия по реагированию выберите Изменить статус авторизации.
5. В открывшемся окне в правой части экрана выберите новый статус устройства (авторизован или не авторизован) и нажмите на кнопку Изменить.

   Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Изменение статуса авторизации устройств из телеметрии события

Чтобы изменить статус авторизации устройства из телеметрии события:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, статус авторизации которого необходимо изменить.
2. В открывшемся окне выберите вкладку Подробнее и выполните одно из следующих действий:
   • Нажмите на название нужного события и выберите устройство.
   • Нажмите на кнопку Поиск угроз, чтобы перейти в раздел Поиск угроз и выберите нужное устройство.
3. В раскрывающемся списке Выбрать действия по реагированию выберите Изменить статус авторизации.
4. В открывшемся окне в правой части экрана выберите новый статус устройства (авторизован или не авторизован) и нажмите на кнопку Изменить.

   Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Изменение статуса авторизации устройств из графа расследования

Этот параметр доступен, если граф расследования построен.

Чтобы изменить статус авторизации устройства из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, статус авторизации которого необходимо изменить.
2. В открывшемся окне нажмите на кнопку Посмотреть на графе.

   Откроется окно графа расследования.

3. Нажмите на имя устройства, чтобы открыть сведения об устройстве.
4. В раскрывающемся списке Выбрать действия по реагированию выберите Изменить статус авторизации.
5. В открывшемся окне в правой части экрана выберите новый статус устройства (авторизован или не авторизован) и нажмите на кнопку Изменить.

   Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выбранный статус авторизации устройства отображается в карточке алерта или инцидента на вкладке Активы → столбец Статус авторизации.

Просмотр информации о пользователях KASAP и изменении учебных групп

После настройки интеграции между KASAP и KUMA в Консоли OSMP при просмотре данных о пользователях, связанных с алертами или инцидентами, становится доступна следующая информация из KASAP:

• Учебная группа, к которой принадлежит пользователь.
• Учебные курсы, пройденные пользователем.
• Запланированные учебные курсы и их текущий прогресс.

Вы можете просмотреть данные о пользователе KASAP. Для этого вам необходимо открыть данные пользователя одним из следующих способов:

• в деталях алерта или инцидента;
• из события телеметрии (если вы открываете его из деталей алерта);
• в графе расследования.

  Этот параметр доступен, если граф расследования построен.

Чтобы открыть данные пользователя:

1. В главном меню перейдите в раздел Мониторинг и отчеты, выберите раздел Алерты или Инциденты.

   Если вы хотите открыть данные пользователя из события телеметрии, выберите раздел Алерты.

   Если вы хотите открыть данные пользователя из графа расследования, выберите раздел Инциденты.

2. Нажмите на идентификатор нужного алерта или инцидента.
3. В открывшемся окне выполните одно из следующих действий:
   • Если вы хотите открыть сведения о пользователе из события телеметрии, выберите вкладку Подробнее, а затем либо нажмите на имя требуемого события и выберите пользователя, либо нажмите на кнопку Поиск угроз, чтобы перейти в раздел Поиск угроз, и выберите нужного пользователя.
   • Если вы хотите открыть данные пользователя из деталей алерта или инцидента, выберите вкладку Активы и нажмите на имя нужного пользователя.
   • Если вы хотите открыть данные пользователя из графа расследования, нажмите на кнопку Посмотреть на графе. В открывшемся графе расследования нажмите на имя нужного пользователя.

   В правой части экрана откроется окно Информация об учетной записи.

4. Выберите вкладку Курсы по кибербезопасности.

   В окне отображается информация о пользователе KASAP.

Вы можете изменить учебную группу пользователя KASAP одним из следующих способов:

• из деталей алерта или инцидента;
• из события телеметрии (если вы открываете его из деталей алерта);
• из графа расследования.

  Этот параметр доступен, если граф расследования построен.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука. В этом случае, если вы переместите пользователя в группу, для которой не начато обучение, пользователь не сможет начать обучение.

Чтобы выполнить действие по реагированию, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Чтобы изменить учебную группу пользователя KASAP:

1. В главном меню перейдите в раздел Мониторинг и отчеты, выберите раздел Алерты или Инциденты.

   Если вы хотите открыть данные пользователя KASAP из события телеметрии, выберите раздел Алерты.

   Если вы хотите изменить учебную группу пользователя KASAP на графе расследования, выберите раздел Инциденты.

2. Нажмите на идентификатор нужного алерта или инцидента.
3. В открывшемся окне выполните одно из следующих действий:
   • Если вы хотите выполнить действие по реагированию с помощью события телеметрии, выберите вкладку Подробнее, а затем либо нажмите на имя требуемого события и выберите пользователя, либо нажмите на кнопку Поиск угроз, чтобы перейти в раздел Поиск угроз, и выберите нужного пользователя.
   • Если вы хотите выполнить действие по реагированию с помощью данных пользователя, выберите вкладку Активы и нажмите на имя пользователя.
   • Если вы хотите выполнить действие по реагированию с помощью графа расследования, нажмите на кнопку Посмотреть на графе. В открывшемся графе расследования нажмите на имя пользователя.

   В правой части экрана откроется окно Информация об учетной записи.

4. В раскрывающемся списке Назначить KASAP-группу выберите учебную группу KASAP, которую вы хотите назначить пользователю.

   Пересчет плана обучения пользователя KASAP может занять до 30 минут. В этот период не рекомендуется менять учебную группу KASAP.

Пользователь перемещен в выбранную группу KASAP. Администратор KASAP в компании получает уведомление об изменении учебной группы, и учебный план пересчитывается для выбранной учебной группы.

Для получения подробной информации об учебных группах и о том, как начать работу, обратитесь к документации KASAP.

Реагирование с помощью Active Directory

Вы можете интегрировать Open Single Management Platform со службами Active Directory, которые используются в вашей организации. Active Directory считается интегрированной с Open Single Management Platform после настройки интеграции между Active Directory и KUMA.

Процесс настройки интеграции Open Single Management Platform и Active Directory заключается в настройке подключений к LDAP. Вам нужно настроить подключения к LDAP отдельно для каждого тенанта.

В результате, если возникнет алерт или инцидент, вы сможете выполнить действия по реагированию в отношении связанных пользователей этого тенанта.

Вы можете выполнить действие по реагированию с помощью Active Directory одним из следующих способов:

• из деталей алерта или инцидента;
• из события телеметрии (если вы открываете его из деталей алерта);
• из графа расследования.

  Этот параметр доступен, если граф расследования построен.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы выполнить действие по реагированию с помощью Active Directory, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Чтобы выполнить действие по реагированию с помощью Active Directory:

1. В главном меню перейдите в раздел Мониторинг и отчеты, выберите раздел Алерты или Инциденты.

   Если вы хотите выполнить действие по реагированию из телеметрии события, выберите раздел Алерты.

   Если вы выполняете действие по реагированию из графа расследования, выберите раздел Инциденты.

2. Нажмите на идентификатор нужного алерта или инцидента.
3. В открывшемся окне выполните одно из следующих действий:
   • Если вы хотите выполнить действие по реагированию с помощью деталей алерта или инцидента, выберите вкладку Активы и нажмите на имя пользователя.
   • Если вы хотите выполнить действие по реагированию с помощью события телеметрии, выберите вкладку Подробнее, а затем либо нажмите на имя требуемого события и выберите пользователя, либо нажмите на кнопку Поиск угроз, чтобы перейти в раздел Поиск угроз, и выберите нужного пользователя.
   • Если вы хотите выполнить действие по реагированию с помощью графа расследования, нажмите на кнопку Посмотреть на графе. В открывшемся графе расследования нажмите на имя пользователя.

   В правой части экрана откроется окно Информация об учетной записи.

4. В раскрывающемся списке Реагирование через Active Directory выберите действие, которое вы хотите выполнить:
   • Заблокировать учетную запись

     Если учетная запись пользователя заблокирована как результат действия по реагированию на соответствующий алерт или инцидент, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

   • Сбросить пароль

     Если пароль учетной записи пользователя сброшен как результат действия по реагированию на соответствующий алерт или инцидент, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

   • Добавить пользователя в группу безопасности

     В открывшемся окне в поле Группа безопасности DN укажите полный путь к группе безопасности, в которую вы хотите добавить пользователя. Например, CN = HQ Team, OU = Groups, OU = ExchangeObjects, DC = avp, DC = ru. Нажмите на кнопку Добавить. В рамках одной операции можно указать только одну группу.

     Если пользователь добавлен в группу безопасности как результат действия по реагированию на соответствующий алерт или инцидент, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

   • Удалить пользователя из группы безопасности

     В открывшемся окне в поле Группа безопасности DN укажите полный путь к группе безопасности, из которой вы хотите удалить пользователя. Например, CN = HQ Team, OU = Groups, OU = ExchangeObjects, DC = avp, DC = ru. Нажмите на кнопку Удалить. В рамках одной операции можно указать только одну группу.

     Если пользователь удален из группы безопасности как результат действия по реагированию на соответствующий алерт или инцидент, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование с помощью KATA/KEDR

Развернуть все | Свернуть все

После настройки интеграции Open Single Management Platform и Kaspersky Anti Targeted Attack Platform вы можете выполнять действия по реагированию на устройстве или с хешом файла одним из следующих способов:

• из деталей алерта или инцидента;
• в свойствах устройства;
• в сведениях о событии.

  Этот параметр доступен для действия по реагированию Добавить правило запрета.

• из графа расследования.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы выполнить действия по реагированию с помощью Kaspersky Anti Targeted Attack Platform, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Выполнение действия по реагированию из деталей алерта или инцидента

Чтобы выполнить действия по реагированию из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне выберите вкладку Активы.
3. Установите флажок рядом с требуемым устройством.

   При необходимости вы можете выбрать несколько устройств.

4. В раскрывающемся списке Выбрать действия по реагированию выберите действие, которое вы хотите выполнить:
   • Включить сетевую изоляцию

     Если вы выберете это действие по реагированию для устройства, на котором уже включена сетевая изоляция, параметры будут перезаписаны новыми значениями.

     После выбора этого действия по реагированию необходимо настроить нужные параметры в окне, открывающемся в правой части экрана.

   • Выключить сетевую изоляцию

     Вы можете выбрать это действие по реагированию для устройств, на которых включена сетевая изоляция.

   • Запустить исполняемый файл

     Исполняемый файл всегда запускается от имени системы и должен быть доступен на устройстве до начала действия по реагированию.

     После выбора этого действия по реагированию необходимо настроить нужные параметры в окне, открывающемся в правой части экрана.

   • Добавить правило запрета

     После выбора этого действия по реагированию необходимо настроить нужные параметры в окне, открывающемся в правой части экрана.

   • Удалить правило запрета

     Вы можете выбрать это действие по реагированию для устройств, на которых было применено правило запрета.

   Все перечисленные действия по реагированию доступны на устройствах, использующих Kaspersky Endpoint Agent для Windows или Kaspersky Endpoint Security для Windows в роли компонента Endpoint Agent. На устройствах с Kaspersky Endpoint Agent для Linux и Kaspersky Endpoint Security для Linux единственным доступным действием по реагированию является Запустить исполняемый файл.

5. В открывшемся окне задайте необходимые параметры действия по реагированию, выбранного на шаге 4:
   • Для сетевой изоляции
     1. Укажите период изоляции устройства и единицы измерения.
     2. Если вы хотите добавить исключение из правила сетевой изоляции, нажмите на кнопку Добавить исключение и заполните следующие поля:
        • Направление сетевого трафика.

          Вы можете выбрать одно из значений:

          • Входящий

            При выборе этого направления необходимо указать диапазон локальных портов в полях Начальный порт и Конечный порт.

          • Исходящий

            При выборе этого направления необходимо указать диапазон удаленных портов в полях Начальный порт и Конечный порт.

          • Входящий/Исходящий

            При выборе этого направления вы не сможете указать диапазон портов.

        • IP-адрес актива.
     3. Нажмите на кнопку Включить.

        Окно закрыто.

   • Для запуска исполняемого файла.
     1. Заполните следующие поля:
        • Путь к исполняемому файлу
        • Параметры командной строки
        • Рабочая директория
     2. Нажмите на кнопку Запустить.

        Окно закрыто.

   • Для добавления правила запрета
     1. Укажите хеш файла, который вы хотите заблокировать:
        • SHA256
        • MD5

        Если вы хотите указать более одного хеша, нажмите на кнопку Добавить хеш.

     2. Нажмите на кнопку Добавить.

        Окно закрыто.

   • Для удаления правила запрета
     1. Выберите правило, которое вы хотите удалить:
        • Если вы хотите удалить все правила запрета, выберите Удалить все.
        • Если вы хотите удалить правило запрета по хешу файла, в поле Хеш файла укажите хеш файла, который нужно удалить.

          Если вы хотите указать более одного хеша, нажмите на кнопку Добавить хеш.

     2. Нажмите на кнопку Удалить.

        Окно закрыто.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действий по реагированию из сведений об устройстве

Чтобы выполнить действия по реагированию из сведений об устройстве:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотр свойств.
4. Выполните те же действия, что описаны в шагах 4–5 в разделе Выполнение действий по реагированию из свойств устройства.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действия по реагированию из сведений о событии

Этот параметр доступен для действия по реагированию Добавить правило запрета.

Чтобы выполнить действия по реагированию из сведений о событии:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
2. В открывшемся окне выберите вкладку Подробнее и выберите нужный хеш файла.
3. Нажмите на кнопку Добавить правило запрета и выберите устройство, для которого вы хотите добавить правило запрета.

   Вы также можете выбрать вкладку Наблюдаемые объекты, установить флажок рядом с хешем файла, который вы хотите заблокировать, и нажать на кнопку Добавить правило запрета.

4. Выполните те же действия, что описаны в шагах 4–5 в разделе Выполнение действий по реагированию из свойств устройства.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выполнение действий по реагированию из графа расследования

Этот параметр доступен, если граф расследования построен.

Чтобы выполнить действие по реагированию из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
2. В открывшемся окне нажмите на кнопку Посмотреть на графе.

   Откроется окно графа расследования.

3. Нажмите на имя устройства, чтобы открыть сведения об устройстве.
4. Выполните те же действия, что описаны в шагах 4–5 в разделе Выполнение действий по реагированию из свойств устройства.

Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Если вы столкнулись с ошибкой при выполнении действий по реагированию, вам нужно убедиться, что имя устройства в Open Single Management Platform такое же, как и в Kaspersky Anti Targeted Attack Platform.

Реагирование с помощью UserGate

UserGate включает в себя функции унифицированных решений по управлению угрозами и предоставляет следующие средства защиты вашей локальной сети:

• Сетевой экран.
• Защита от вторжений и атак.
• Антивирусная проверка трафика.
• Контроль приложений.

Поддерживается версия UserGate UTM API 7.

Вы можете реагировать на алерты и инциденты с помощью UserGate, если вы ранее настроили интеграцию между Open Single Management Platform и службой запуска скриптов, а также создали плейбук, который запустит скрипт для реагирования. Вы можете скачать скрипты, перейдя по этой ссылке.

Загрузить скрипты

Логин и пароль для доступа к UserGate хранятся в скрипте ug.py. В этом скрипте вы можете изменить конечную точку, учетную запись и пароль.

Для запуска скриптов требуется Python 3.10.

Чтобы выполнить действие по реагированию с помощью UserGate, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Вы можете создавать плейбуки, которые будут выполнять следующие действия по реагированию с помощью UserGate:

• Блокировка IP-адресов, URL и доменных имен.

  UserGate заблокирует IP-адреса, URL и доменные имена в результате запуска плейбука.

• Выход пользователей.

  Все пользователи, вошедшие в UserGate, будут отключены в результате запуска плейбука.

Чтобы запустить скрипт для реагирования с помощью UserGate:

1. В главном меню перейдите в раздел Мониторинг и отчеты, а затем в разделе Алерты или Инциденты нажмите на идентификатор нужного алерта или инцидента.
2. Нажмите на кнопку Выбрать плейбук и в открывшемся окне выберите плейбук, который вы создали для реагирования с помощью UserGate.
3. Нажмите на кнопку Запуск.

   Выбранный плейбук запустит скрипт для реагирования с помощью UserGate.

   Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Результат запуска плейбука доступен в деталях алерта или инцидента на вкладке История.

Реагирование с помощью Ideco NGFW

Развернуть все | Свернуть все

Ideco NGFW – это решение, которое действует как фильтр для интернет-трафика в корпоративных и частных сетях. Он позволяет заблокировать IP-адреса и веб-адреса, обнаруженные Open Single Management Platform, если вы ранее настроили интеграцию Open Single Management Platform и службы запуска скриптов.

Поддерживается Ideco NGFW версии 16.0 и выше.

Логин и пароль для доступа к Ideco NGFW хранятся в скрипте для интеграции с Ideco NGFW. Вы можете скачать скрипт по следующей ссылке:

Загрузить скрипт

Чтобы использовать скрипт:

1. Установите скрипт одним из следующих способов:
   • С помощью pip, например:

     pip install -r requirements.txt

   • Из WHL-файла, например:

     pip install ./dist/kaspersky_xdr_ideco_integration-<version>-py3-none-any.whl

   • Автономная установка.

     Если у вас нет доступа в интернет, вы можете установить скрипт автономно. В этом случае сделайте следующее:

     1. Загрузите зависимости на устройство с доступом в интернет, выполнив следующую команду:

        pip download -r requirements.txt

     2. Переместите загруженные зависимости на устройство, на котором вы будете запускать скрипт.
     3. Установите зависимости с помощью команды:

        pip install --no-index --find-links <путь_к_папке_с_загруженными_зависимостям> -r requirements.txt

2. Настройте скрипт одним из следующих способов:
   • С помощью ENV-файла, например:

     cp .env.sample .env

     nano .env

   • В теле скрипта (ideco.py) измените параметры в следующих строках:

     BASE_URL: str = getenv("BASE_URL", "https://your-ip:your-port")

     LOGIN: str = getenv("LOGIN", "your-login")

     PASSWORD: str = getenv("PASSWORD", "your-password")

     IP_DENY_LIMIT: int = int(getenv("IP_DENY_LIMIT", 1000))

3. Добавьте правила запрета для IP-адресов, обнаруженных Open Single Management Platform, и для вредоносных веб-адресов.

Чтобы добавить правило сетевого экрана, которое будет блокировать IP-адреса:

1. Запустите скрипт с помощью команды add_firewall_rule.

   Команда имеет следующую логику:

   1. Проверяет, существуют ли IP-адреса в списке объектов Ideco NGFW.

      Если они существуют, текущий IP-адрес не добавляется.

      Если они не существуют, добавляется текущий IP-адрес.

   2. Проверяет, существует ли список IP-адресов с именем XDR.

      Если список существует, он используется повторно, и к нему добавляются IP-адреса.

      Если он не существует, создается список, в который добавляются IP-адреса.

   3. Проверяет, существует ли правило для сетевого экрана с именем XDR.

      Если правило сетевого экрана существует, оно используется повторно и к нему добавляется список IP-адресов из шага 2.

      Если оно не существует, создается правило сетевого экрана, и к нему добавляется список IP-адресов из шага 2.

2. Укажите IP-адреса, которые вы хотите заблокировать.

   По умолчанию максимальное количество IP-адресов – 1000. Вы можете изменить это значение, как описано в шаге 2 Настройка скрипта.

   Необходимо добавлять действительные IPv4-адреса через запятую и без пробелов, например:

   python ideco.py add_firewall_rule --ip_address "12.12.12.12, 13.13.13.13"

Правило запрета для выбранных IPv4-адресов добавлено, например:

![Adding content filtering rule](./assets/screencasts/ideco_add_firewall_rule.gif)

Чтобы добавить правило фильтрации, которое будет блокировать вредоносные веб-адреса:

1. Запустите скрипт с помощью команды add_content_filter_file command.

   Команда имеет следующую логику:

   1. Проверяет, существует ли категория с именем XDR.

      Если она существует, веб-адреса добавляются в эту категорию.

      Если она не существует, создается категория, а затем к ней добавляются веб-адреса.

   2. Проверяет, существует ли правило фильтрации содержимого с именем XDR.

      Если правило фильтрации содержимого существует, к нему добавляется категория из шага 1.

      Если оно не существует, создается правило фильтрации содержимого, а затем к нему добавляется категория из шага 1.

2. Укажите веб-адреса, которые вы хотите заблокировать.

   Веб-адреса должны быть разделены запятыми и иметь префиксы http:// или https://, например:

   python ideco.py add_content_filter_rule --url "https://url_1.com, http://url_2.com.uk, http://qwerty.nl, http://zxc.xc"

Правило запрета для указанных веб-адресов добавлено, например:

![Adding content filtering rule](./assets/screencasts/ideco_add_content_filtering_rule.gif)

Реагирование с помощью Ideco UTM

Ideco UTM – это решение, обеспечивающее следующие средства защиты вашей корпоративной сети:

• Сетевой экран – фильтрация сетевого трафика для защиты сети от несанкционированного доступа.
• Защита от вторжений и атак – выявление и блокирование подозрительных действий для обеспечения целостности системы.
• Антивирусное сканирование трафика – защита от вредоносных приложений и их действий.
• Контроль приложений – блокирование или ограничение выполнения неавторизованных приложений.
• Веб-фильтрация – ограничение доступа пользователей к сайтам, которые вы считаете нежелательными.

Поддерживается версия Ideco UTM 15.7.35.

Вы можете реагировать на алерты и инциденты с помощью Ideco UTM, если вы ранее настроили интеграцию между Open Single Management Platform и службой запуска скриптов, а также создали плейбук, который запустит скрипт для реагирования. В результате запуска плейбука Ideco UTM блокирует IP-адреса, IP-диапазоны или URL, в зависимости от действия, которое вы указали при создании плейбука.

Чтобы разблокировать IP-адреса, IP-диапазоны или URL, которые вы заблокировали, вам нужно создать и запустить другой плейбук.

Вы можете скачать скрипт, перейдя по этой ссылке:

Загрузить скрипт

Логин и пароль для доступа к Ideco UTM хранятся в конфигурационном файле env.sample. Вам нужно скопировать информацию из этого файла в новый файл ENV, который вы создаете, и указать необходимые параметры в новом файле.

Для запуска скрипта требуется Python 3.10.

Чтобы выполнить действие по реагированию с помощью Ideco UTM, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня или Аналитик 2-го уровня.

Чтобы запустить скрипт для реагирования с помощью Ideco UTM:

1. В главном меню перейдите в раздел Мониторинг и отчеты, а затем в разделах Алерты или Инциденты нажмите на идентификатор нужного алерта или инцидента.
2. Нажмите на кнопку Выбрать плейбук и в открывшемся окне выберите плейбук, который вы создали для реагирования с помощью Ideco UTM.
3. Нажмите на кнопку Запуск.

   Выбранный плейбук запустит скрипт для реагирования с помощью Ideco UTM.

   Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Результат запуска плейбука доступен в деталях алерта или инцидента на вкладке История.

Реагирование с помощью Redmine

Redmine – это веб-приложение для управления проектами и отслеживания вопросов. Это приложение позволяет автоматизировать сценарий работы с проблемами в проектах Redmine с помощью скрипта, если вы ранее настроили интеграцию Open Single Management Platform со службой запуска скриптов.

Скачайте скрипт по этой ссылке:

Загрузить скрипт

Чтобы использовать скрипт:

1. Установите скрипт одним из следующих способов:
   • С помощью pip, например:

     pip install -r requirements.txt

   • Из WHL-файла, например:

     pip install ./dist/kaspersky_xdr_redmine_integration-1.0-py3-none-any.whl

   • Автономная установка.

     Если у вас нет доступа в интернет, вы можете установить скрипт автономно. В этом случае сделайте следующее:

     1. Загрузите зависимости на устройство с доступом в интернет, используя следующую команду:

        pip download -r requirements.txt

     2. Переместите загруженные зависимости на устройство, на котором вы будете запускать скрипт.
     3. Установите зависимости с помощью следующей команды:

        pip install --no-index --find-links <путь_к_папке_с_загруженными_зависимостям> -r requirements.txt

2. Настройте скрипт одним из следующих способов:
   • С помощью ENV-файла, например:

     cp .env.sample .env

     nano .env

   • В теле скрипта (redmine.py) измените параметры в следующих строках:

     REDMINE_URL: str = getenv("REDMINE_URL", "http://<ip_or_hostname>")

     REDMINE_PORT: str = getenv("REDMINE_PORT", "8080")

     REDMINE_API_KEY: str = str(getenv("REDMINE_API_KEY", "<redmine_api_key>"))

Вы можете использовать скрипт для работы с проблемами в Redmine.

• Если вы хотите создать задачу, выполните команду:

  python redmine.py create_issue "project-identifier" "Issue subject" --description "Issue description text" --priority_id <id: int>

  Результаты:

  {"issue_id": 57}

• Если вы хотите обновить проблему, выполните команду:

  python redmine.py update_issue <issue_id: int> --subject "Subject text to be updated" --description "Description text to be updated" --priority_id <id: int>

  Результаты:

  {"status": "issue_updated"}

• Если вы хотите получить информацию о проблеме, выполните команду:

  python redmine.py get_issue <issue id: int>

  Результаты:

  {

  "subject": "86",

  "description": "18",

  "project_name": "Test project",

  "author_name": "Redmine Admin",

  "status_name": "backlog",

  "priority_name": "high",

  "start_date": "24.07.2023",

  "due_date": null,

  "created_on": "24.07.2023 10:56:15",

  "updated_on": "24.07.2023 17:18:38"

  }

Реагирование с помощью Check Point NGFW

Развернуть все | Свернуть все

Check Point NGFW – это решение, которое действует как фильтр для интернет-трафика в корпоративных сетях. Интеграция с Check Point NGFW позволяет блокировать IP-адреса и URL, обнаруженные Open Single Management Platform.

Check Point NGFW включает в себя функции унифицированных решений по управлению угрозами и предоставляет следующие средства защиты корпоративных сетей:

• Сетевой экран – фильтрация сетевого трафика для защиты сети от несанкционированного доступа.
• Защита от вторжений и атак – выявление и блокирование подозрительных действий для обеспечения целостности системы.
• Антивирусное сканирование трафика – защита от вредоносных приложений и их действий.
• Контроль приложений – блокирование или ограничение выполнения неавторизованных приложений.
• Веб-фильтрация – ограничение доступа пользователей к сайтам, которые вы считаете нежелательными.

Поддерживается Check Point NGFW версии R81.20 или выше.

Вы можете реагировать на алерты и инциденты с помощью Check Point NGFW, если вы ранее настроили интеграцию между Open Single Management Platform и службой запуска скриптов, а также создали плейбук, который запустит скрипт для реагирования. Чтобы разблокировать IP-адреса или URL, которые вы заблокировали, вам нужно создать и запустить другой плейбук.

Для запуска скриптов требуется Python 3.10.

Чтобы выполнить действие по реагированию с помощью Check Point NGFW, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня или Аналитик 2-го уровня.

Вы можете скачать скрипты для реагирования по следующей ссылке:

Загрузить скрипт

Учетная запись и пароль для доступа к Check Point NGFW хранятся в файле .envSample.

Чтобы использовать скрипт:

1. Установите скрипт одним из следующих способов:
   • С помощью pip, например:

     pip install -r requirements.txt

   • Автономная установка.

     Если у вас нет доступа в интернет, вы можете установить скрипт автономно. В этом случае сделайте следующее:

     1. Загрузите зависимости на устройство с доступом в интернет, выполнив следующую команду:

        pip download -r requirements.txt

     2. Переместите загруженные зависимости на устройство, на котором вы будете запускать скрипт.
     3. Установите зависимости с помощью команды:

        pip install --no-index --find-links <путь_к_папке_с_загруженными_зависимостям> -r requirements.txt

2. Настройте скрипт одним из следующих способов:
   • С помощью ENV-файла, например:

     cp .env.sample .env

     nano .env

   • В теле скрипта (main.py) измените параметры в следующих строках:

     BASE_IP: str = getenv("BASE_IP", "your-ip")

     BASE_PORT: str = getenv("BASE_PORT", "your-port")

     LOGIN: str = getenv("LOGIN", "your-login")

     PASSWORD: str = getenv("PASSWORD", "your-password")

3. Добавьте правила запрета для IP-адресов, обнаруженных Open Single Management Platform, и для вредоносных веб-адресов.

Чтобы добавить правило сетевого экрана, которое будет блокировать IP-адреса:

1. Запустите скрипт с помощью команды add_firewall_rule.

   Команда имеет следующую логику:

   1. Проверяет, существуют ли IP-адреса в списке объектов Check Point NGFW.

      Если они существуют, текущий IP-адрес не добавляется.

      Если они не существуют, добавляется текущий IP-адрес.

   2. Проверяет, существует ли список IP-адресов с именем XDR.

      Если список существует, он используется повторно, и к нему добавляются IP-адреса.

      Если он не существует, создается список, в который добавляются IP-адреса.

   3. Проверяет, существует ли правило для сетевого экрана с именем XDR.

      Если правило сетевого экрана существует, оно используется повторно и к нему добавляется список IP-адресов из шага 2.

      Если оно не существует, создается правило сетевого экрана, и к нему добавляется список IP-адресов из шага 2.

2. Укажите IP-адреса, которые вы хотите заблокировать.

   По умолчанию максимальное количество IP-адресов – 1000. Вы можете изменить это значение, как описано в предыдущей инструкции на шаге 2 Настройка скрипта.

   Необходимо добавлять действительные IPv4-адреса через запятую и без пробелов, например:

   python main.py add_firewall_rule --ip_address "12.12.12.12, 13.13.13.13"

Правило запрета для выбранных IPv4-адресов добавлено, например:

![Adding content filtering rule](./assets/screencasts/main_add_firewall_rule.gif)

Чтобы удалить правило сетевого экрана, которое блокирует IP-адреса:

1. Запустите скрипт с помощью команды delete_firewall_rule.

   Команда имеет следующую логику:

   1. Проверяет, существуют ли IP-адреса в списке объектов Check Point NGFW.

      Если они существуют, текущий IP-адрес не добавляется.

      Если они не существуют, добавляется текущий IP-адрес.

   2. Проверяет, существует ли список IP-адресов с именем XDR.

      Если список существует, он используется повторно, и к нему добавляются IP-адреса.

      Если он не существует, создается список, в который добавляются IP-адреса.

   3. Проверяет, существует ли правило для сетевого экрана с именем XDR.

      Если правило сетевого экрана существует, оно используется повторно и к нему добавляется список IP-адресов из шага 2.

      Если оно не существует, создается правило сетевого экрана, и к нему добавляется список IP-адресов из шага 2.

2. Укажите IP-адреса, которые вы хотите заблокировать.

   По умолчанию максимальное количество IP-адресов – 1000. Вы можете изменить это значение, как описано в предыдущей инструкции на шаге 2 Настройка скрипта.

   Необходимо добавлять действительные IPv4-адреса через запятую и без пробелов, например:

   python main.py delete_firewall_rule --ip_address "12.12.12.12, 13.13.13.13"

Правило запрета для выбранных IPv4-адресов удалено.

Чтобы добавить правило фильтрации, которое будет блокировать вредоносные веб-адреса:

1. Запустите скрипт с помощью команды add_content_filter_file command.

   Команда имеет следующую логику:

   1. Проверяет, существует ли категория с именем XDR.

      Если она существует, веб-адреса добавляются в эту категорию.

      Если она не существует, создается категория, а затем к ней добавляются веб-адреса.

   2. Проверяет, существует ли правило фильтрации содержимого с именем XDR.

      Если правило фильтрации содержимого существует, к нему добавляется категория из шага 1.

      Если оно не существует, создается правило фильтрации содержимого, а затем к нему добавляется категория из шага 1.

2. Укажите веб-адреса, которые вы хотите заблокировать.

   Веб-адреса должны быть разделены запятыми и иметь префиксы http:// или https://, например:

   python main.py add_content_filter_rule --url "https://url_1.com, http://url_2.com.uk, http://qwerty.nl, http://zxc.xc"

Правило запрета для указанных веб-адресов добавлено, например:

![Adding content filtering rule](./assets/screencasts/main_add_content_filtering_rule.gif)

Чтобы удалить правило фильтрации, которое блокирует вредоносные веб-адреса:

1. Запустите скрипт с помощью команды delete_content_filter_file.

   Команда имеет следующую логику:

   1. Проверяет, существует ли категория с именем XDR.

      Если она существует, веб-адреса добавляются в эту категорию.

      Если она не существует, создается категория, а затем к ней добавляются веб-адреса.

   2. Проверяет, существует ли правило фильтрации содержимого с именем XDR.

      Если правило фильтрации содержимого существует, к нему добавляется категория из шага 1.

      Если оно не существует, создается правило фильтрации содержимого, а затем к нему добавляется категория из шага 1.

2. Укажите веб-адреса, которые вы хотите заблокировать.

   Веб-адреса должны быть разделены запятыми и иметь префиксы http:// или https://, например:

   python main.py delete_content_filter_rule --url "https://url_1.com, http://url_2.com.uk, http://qwerty.nl, http://zxc.xc"

Правило запрета для указанных веб-адресов удалено.

Чтобы запустить скрипт для реагирования с помощью Check Point NGFW:

1. В главном меню перейдите в раздел Мониторинг и отчеты, а затем в разделах Алерты или Инциденты нажмите на идентификатор нужного алерта или инцидента.
2. Нажмите на кнопку Выбрать плейбук и в открывшемся окне выберите плейбук, который вы создали для реагирования с помощью Check Point NGFW.
3. Нажмите на кнопку Запустить.

   Выбранный плейбук запустит скрипт для реагирования с помощью Check Point NGFW.

   Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Результат запуска плейбука доступен в деталях алерта или инцидента на вкладке История.

Реагирование с помощью Sophos Firewall

Sophos Firewall – это решение, обеспечивающее следующие средства защиты вашей корпоративной сети:

• Сетевой экран – фильтрация сетевого трафика для защиты сети от несанкционированного доступа.
• Защита от вторжений и атак – выявление и блокирование подозрительных действий для обеспечения целостности системы.
• Антивирусное сканирование трафика – защита от вредоносных приложений и их действий.
• Контроль приложений – блокирование или ограничение выполнения неавторизованных приложений.
• Веб-фильтрация – ограничение доступа пользователей к сайтам, которые вы считаете нежелательными.

Поддерживается версия Sophos Firewall 19.5.

Вы можете реагировать на алерты и инциденты с помощью Sophos Firewall, если вы ранее настроили интеграцию между Open Single Management Platform и службой запуска скриптов, а также создали плейбук, который запустит скрипт для реагирования. В результате запуска плейбука Sophos Firewall блокирует IP-адреса, IP-диапазоны или URL, в зависимости от действия, которое вы указали при создании плейбука.

Чтобы разблокировать IP-адреса, IP-диапазоны или URL, которые вы заблокировали, вам нужно создать и запустить другой плейбук.

Вы можете скачать скрипт, перейдя по этой ссылке:

Загрузить скрипт

Логин и пароль для доступа к Sophos Firewall хранятся в конфигурационном файле env.sample. Вам нужно скопировать информацию из этого файла в новый файл ENV, который вы создаете, и указать необходимые параметры в новом файле.

Для запуска скрипта требуется Python 3.10.

Чтобы выполнить действие по реагированию с помощью Sophos Firewall, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня или Аналитик 2-го уровня.

Чтобы запустить скрипт для реагирования с помощью Sophos Firewall:

1. В главном меню перейдите в раздел Мониторинг и отчеты, а затем в разделах Алерты или Инциденты нажмите на идентификатор нужного алерта или инцидента.
2. Нажмите на кнопку Выбрать плейбук и в открывшемся окне выберите плейбук, который вы создали для реагирования с помощью Sophos Firewall.
3. Нажмите на кнопку Запуск.

   Выбранный плейбук запустит скрипт для реагирования с помощью Sophos Firewall.

   Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Результат запуска плейбука доступен в деталях алерта или инцидента на вкладке История.

Реагирование с помощью Континент 4

Континент 4 – это решение, обеспечивающее следующие средства защиты вашей корпоративной сети:

• Сетевой экран – фильтрация сетевого трафика для защиты сети от несанкционированного доступа.
• Защита от вторжений и атак – выявление и блокирование подозрительных действий для обеспечения целостности системы.
• VPN-шлюз – создание безопасных туннелей для передачи данных между сетями вашей организации.
• Контроль доступа – управление доступом пользователей к внутренним и внешним сетевым ресурсам на основе правил и политик безопасности.
• Шифрование данных – использование криптографических алгоритмов для защиты передаваемых данных.

Поддерживается Континент 4 версии 4.1.7.

Вы можете реагировать на алерты и инциденты с помощью Континент 4, если вы ранее настроили интеграцию между Open Single Management Platform и службой запуска скриптов, а также создали плейбук, который запустит скрипт для реагирования.

Вы можете создавать плейбуки, которые будут выполнять следующие действия по реагированию с помощью Континент 4:

• Блокировать IP-адреса и URL.

  Континент 4 заблокирует IP-адреса и URL. Чтобы разблокировать IP-адреса или URL, которые вы заблокировали, вам нужно создать и запустить другой плейбук.

• Блокировать индикаторы компрометации (Indicators of Compromise, далее также IoC).

  Континент 4 заблокирует наблюдаемые объекты, которые вы указали в триггере плейбука.

Вы можете скачать скрипт, перейдя по этой ссылке:

Загрузить скрипт

Логин и пароль для доступа к Континент 4 хранятся в конфигурационном файле env.sample. Вам нужно скопировать информацию из этого файла в новый файл ENV, который вы создаете, и указать необходимые параметры в новом файле.

Для запуска скрипта требуется Python 3.10.

Чтобы выполнить действие по реагированию с помощью Континент 4, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня или Аналитик 2-го уровня.

Чтобы запустить скрипт для реагирования с помощью Континент 4:

1. В главном меню перейдите в раздел Мониторинг и отчеты, а затем в разделах Алерты или Инциденты нажмите на идентификатор нужного алерта или инцидента.
2. Нажмите на кнопку Выбрать плейбук и в открывшемся окне выберите плейбук, который вы создали для реагирования с помощью Континент 4.
3. Нажмите на кнопку Запуск.

   Выбранный плейбук запустит скрипт для реагирования с помощью Континент 4.

   Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Результат запуска плейбука доступен в деталях алерта или инцидента на вкладке История.

Реагирование с помощью СКДПУ НТ

СКДПУ НТ – это решение для управления привилегированными учетными записями.

Поддерживается СКДПУ НТ версии 7.0.4.

Вы можете реагировать на алерты и инциденты с помощью СКДПУ НТ, если вы ранее настроили интеграцию между Open Single Management Platform и службой запуска скриптов, а также создали плейбук, который запустит скрипт для реагирования.

Вы можете создавать плейбуки, которые будут выполнять следующие действия по реагированию с помощью СКДПУ НТ:

• Завершение пользовательского сеанса. Плейбук завершит все сеансы пользователя при обнаружении подозрительных действий или нарушении правил безопасности.
• Блокировка учетной записи пользователя. Плейбук заблокирует учетную запись пользователя и ограничит доступ пользователя к системе.
• Отзыв прав пользователя. Пользователь будет удален из привилегированной группы и права пользователя будут отозваны.

Вы можете скачать скрипт, перейдя по этой ссылке:

Загрузить скрипт

Логин и пароль для доступа к СКДПУ НТ хранятся в конфигурационном файле env.sample. Вам нужно скопировать информацию из этого файла в новый файл ENV, который вы создаете, и указать необходимые параметры в новом файле.

Для запуска скрипта требуется Python 3.10.

Чтобы выполнить действие по реагированию с помощью СКДПУ НТ, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня или Аналитик 2-го уровня.

Чтобы запустить скрипт для реагирования с помощью СКДПУ НТ:

1. В главном меню перейдите в раздел Мониторинг и отчеты, а затем в разделах Алерты или Инциденты нажмите на идентификатор нужного алерта или инцидента.
2. Нажмите на кнопку Выбрать плейбук и в открывшемся окне выберите плейбук, который вы создали для реагирования с помощью СКДПУ НТ.
3. Нажмите на кнопку Запуск.

   Выбранный плейбук запустит скрипт для реагирования с помощью СКДПУ НТ.

   Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Результат запуска плейбука доступен в деталях алерта или инцидента на вкладке История.

Реагирование с помощью FortiGate

FortiGate – это решение, обеспечивающее следующие средства защиты вашей корпоративной сети:

• Сетевой экран – фильтрует сетевой трафик и предотвращает неавторизованный доступ.
• Защита от вторжений и атак – определяет и блокирует подозрительные действия.
• Веб-фильтр – ограничивает доступ пользователей к сайтам, которые вы считаете нежелательными.
• Защита от вредоносных приложений – предотвращает заражение вредоносными приложениями.
• Фильтрация электронной почты – блокирует спам-сообщения и подозрительные письма.

Поддерживается версия FortiGate 7.6.0.

Вы можете реагировать на алерты и инциденты с помощью FortiGate, если вы ранее настроили интеграцию между Open Single Management Platform и службой запуска скриптов, а также создали плейбук, который запустит скрипт для реагирования. В результате запуска плейбука FortiGate блокирует IP-адреса, URL или доменные имена, в зависимости от действия, которое вы указали при создании плейбука.

Чтобы разблокировать заблокированные IP-адреса, URL или доменные имена, вам нужно создать и запустить другой плейбук.

Вы можете скачать скрипт по следующей ссылке:

Загрузить скрипт

Учетная запись, пароль и API-ключ для доступа к FortiGate хранятся в конфигурационном файле env.sample. Вам нужно скопировать информацию из этого файла в новый файл ENV, который вы создаете, и указать необходимые параметры в новом файле.

Для запуска скрипта требуется Python 3.10.

Чтобы выполнить действие по реагированию с помощью FortiGate, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня или Аналитик 2-го уровня.

Чтобы запустить скрипт для реагирования с помощью FortiGate:

1. В главном меню перейдите в раздел Мониторинг и отчеты, а затем в разделах Алерты или Инциденты нажмите на идентификатор нужного алерта или инцидента.
2. Нажмите на кнопку Выбрать плейбук и в открывшемся окне выберите плейбук, который вы создали для реагирования с помощью FortiGate.
3. Нажмите на кнопку Запуск.

   Выбранный плейбук запустит скрипт для реагирования с помощью FortiGate.

   Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Результат запуска плейбука доступен в деталях алерта или инцидента на вкладке История.

Просмотр истории реагирования из деталей алерта или инцидента

После выполнения действия по реагированию вы можете просмотреть историю реагирования одним из следующих способов:

• В деталях алерта или инцидента.
• В разделе История реагирования.
• В сведениях о плейбуке.

Чтобы просмотреть историю действий по реагированию из деталей алерта или инцидента:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты.
2. Откройте раздел Алерты или Инциденты и нажмите на идентификатор алерта или инцидента, для которого было выполнено действие по реагированию.
3. В открывшемся окне выберите вкладку История и перейдите на вкладку История реагирований.

   Отобразится таблица событий, содержащая следующие столбцы:

   • Время. Время возникновения события.
   • Запущено. Имя пользователя, запустившего действие по реагированию.
   • События. Описание события.
   • Параметры реагирования. Параметры действия по реагированию, указанные в действии по реагированию.
   • Актив. Количество активов, для которых было запущено действие по реагированию. Вы можете перейти по ссылке с номером актива, чтобы просмотреть подробную информацию об активе.
   • Статус действия. Статус выполнения действия по реагированию. В этом столбце могут отображаться следующие значения:
     • Ожидание подтверждения – действие по реагированию ожидает подтверждения для запуска.
     • В обработке – действие по реагированию выполняется.
     • Успешно – действие по реагированию завершено без ошибок или предупреждений.
     • Предупреждение – действие по реагированию завершено с предупреждениями.
     • Ошибка – действие по реагированию завершено с ошибками.
     • Прервано – действие по реагированию завершено, так как пользователь прервал выполнение.
     • Истекло время подтверждения – действие по реагированию завершено, так как время подтверждения для запуска истекло.
     • Отклонено – действие по реагированию завершено, так как пользователь отклонил запуск.
   • Плейбук. Название плейбука, в котором было запущено действие по реагированию. Вы можете перейти по ссылке, чтобы просмотреть подробную информацию о плейбуке.
   • Действие по реагированию. Имя выполненного действия по реагированию.
   • Тип актива. Тип актива, для которого запускается действие по реагированию. Возможные значения: Устройство или Пользователь.
   • Активы тенанта. Тенант, являющийся владельцем актива, для которого было запущено действие по реагированию.
4. Нажмите на значок параметров () и выберите столбцы для отображения в таблице, если необходимо.
5. При необходимости нажмите на значок фильтра () и в открывшемся окне укажите и примените критерий фильтрации:
   • Добавьте фильтр, нажав на кнопку Добавить фильтр.
   • Измените фильтр, выбрав необходимые значения в следующих полях:
     • Свойство
     • Условие
     • Значение
   • Удалите фильтр.
   • Удалите все фильтры, нажав на кнопку Сбросить все.