Tipi di reazioni

Espandi tutto | Comprimi tutto

Gli analisti SOC di MDR esaminano gli incidenti e creano reazioni che è possibile accettare o rifiutare. Si tratta della modalità predefinita di gestione degli incidenti in Kaspersky Managed Detection and Response.

Tuttavia, è possibile creare manualmente le reazioni utilizzando le funzionalità di Kaspersky Endpoint Detection e Response Optimum.

Questo articolo descrive solo i tipi di reazioni degli analisti SOC.

Ogni reazione può avere una serie di parametri presenti nella scheda Reazioni di un incidente.

I tipi di reazioni disponibili sono:

• Ottieni file

  Copia di un file dall'infrastruttura a Kaspersky SOC. Se si accetta questa reazione, il file specificato verrà copiato in Kaspersky SOC.

  Questo tipo di reazione può ottenere file contenenti dati personali e/o riservati.

  I parametri possibili sono:

  • Percorso file infetto

    Il percorso assoluto del file. Ad esempio C:\\file.exe.

  • Dimensione massima del file

    La dimensione massima del file, in MB.

    Se il file infetto supera la dimensione massima del file specificata, il tentativo di accettare la reazione avrà esito negativo e la reazione non verrà eseguita, ma verrà visualizzata nella scheda Cronologia di un incidente.

• Isola

  Isolamento della risorsa specificata dalla rete.

  Nel caso in cui sia necessario disabilitare urgentemente l'isolamento della rete, contattare il Servizio di assistenza tecnica o scrivere una richiesta nella scheda Comunicazione dell'incidente.

  I parametri possibili sono:

  • Password per disabilitare l'isolamento

    La password per disabilitare l'isolamento. Una volta ricevuta la richiesta di disabilitazione dell'isolamento della rete, il Servizio di assistenza tecnica invierà la procedura con i dettagli sull'utilizzo della password.

  • ID attività

    L'identificatore univoco dell'attività utilizzato in abbinamento alla Password per disabilitare l'isolamento per la disabilitazione manuale dell'isolamento di rete.

  • Dettagli password

    È possibile verificare la validità della Password generando da essa una chiave derivata e confrontando il valore risultante con il valore nel parametro Chiave derivata.

    • Versione

      La versione numerica delle regole di creazione della password. Una versione 1 significa che vengono applicati i seguenti parametri di PBKDF2 per la creazione di una chiave derivata:

      • Algoritmo di hash HMACSHA256
      • 10.000 iterazioni
      • Lunghezza chiave di 32 byte
    • Salt

      Salt in formato HEX per ottenere una chiave derivata tramite PBKDF2.

    • Chiave derivata

      La chiave derivata in formato HEX.

  • Durata dell'isolamento della risorsa

    Il periodo di tempo in secondi dopo il quale l'isolamento verrà disabilitato automaticamente. Se non è specificato alcun periodo di tempo personalizzato, viene applicato il periodo di tempo predefinito di sette giorni. Il valore massimo è 2.678.400 secondi.

  • Regole di esclusione

    Matrice di regole con porte, protocolli, indirizzi IP e processi personalizzati a cui non viene applicato l'isolamento.

    • Direzione

      La direzione del traffico. I valori possibili sono: In entrata, In uscita, Entrambi.

    • Protocollo

      Il numero di protocollo secondo la specifica IANA.

      I valori possibili sono:

      • 1 (ICMP)
      • 6 (TCP)
      • 17 (UDP)
      • 58 (IPv6-ICMP)
    • Intervallo porte remote

      L'intervallo di porte remote specificato nei campi Da e A nidificati.

    • Indirizzo IPv4 remoto

      L'indirizzo IPv4 remoto o la subnet mask.

    • Indirizzo IPv6 remoto

      L'indirizzo IPv6 remoto o la subnet mask.

    • Intervallo porte locali

      L'intervallo di porte locali specificato nei campi Da e A nidificati.

    • Indirizzo IPv4 locale

      L'indirizzo IPv4 locale o la subnet mask.

    • Indirizzo IPv6 locale

      L'indirizzo IPv6 locale o la subnet mask.

    • Processo

      Il percorso dell'immagine del processo specificata nel campo Immagine → Percorso nidificato.

• Disabilita isolamento

  Disabilitare l'isolamento di rete della risorsa specificata.

• Elimina chiave del Registro di sistema

  Eliminare una chiave del Registro di sistema o di un ramo del Registro di sistema nella risorsa specificata.

  I parametri possibili sono:

  • Chiave

    Il percorso assoluto della chiave, che inizia con HKEY_LOCAL_MACHINE o HKEY_USERS. Ad esempio HKEY_LOCAL_MACHINE\\SYSTEM\\WebClient.

    Se la chiave è un collegamento simbolico, solo questa chiave verrà eliminata mentre la chiave di destinazione del collegamento rimarrà intatta.

  • Valore

    Il valore della chiave.

    Se questo parametro non è specificato, la chiave verrà eliminata in modo ricorsivo. Durante l'eliminazione ricorsiva, ogni sottochiave che è un collegamento simbolico verrà eliminata mentre la relativa chiave di destinazione rimarrà intatta.

    Se il valore della chiave è una stringa vuota, il valore predefinito verrà eliminato.

• Dump della memoria

  Creazione di un dump della memoria e invio a Kaspersky SOC.

  I parametri possibili sono:

  • Tipo di dump

    Un dump della memoria può essere di due tipi:

    • Dump della memoria completo

      Un dump dell'intera memoria di una risorsa.

    • Dump del processo

      Un dump di un processo specificato.

  • Dimensione massima del file

    La dimensione massima del file per il dump in formato ZIP, in MB. Il valore predefinito è 100 MB.

  • Processo

    L'ID del processo e i dettagli dell'immagine.

    • Immagine
      • Percorso

        Il percorso assoluto del file. Ad esempio %systemroot%\\system32\\svchost.exe.

      • SHA-256

        Il checksum MD5 in formato HEX.

      • MD5

        Il checksum MD5 in formato HEX.

    • ID univoco

      L'identificatore univoco del processo.

  • Limite conteggio processi

    Il numero massimo di processi che possono essere contenuti nel file di dump.

• Termina processo

  Terminare un processo sulla risorsa specificata con Kaspersky Endpoint Security for Windows. Il processo da terminare può essere specificato tramite il nome o l'identificatore di processo (PID).