Professional Documents
Culture Documents
KL 002.12.1 KSC Kes Student Guide Unit4 Ru v0.6
KL 002.12.1 KSC Kes Student Guide Unit4 Ru v0.6
EDR Optimum
KL 002.12.1
Kaspersky Endpoint
Security and
Management
Учебный курс
1
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. Часть 4. EDR Optimum
Е НИ
Содержание
АН
1. Введение .............................................................................................................................2
ТР
1.1 Чего не хватает EPP-решению ...................................................................................................... 2
1.2 Расширение возможностей Kaspersky Endpoint Security для бизнеса ...................................... 4
1.3 Лицензирование .............................................................................................................................. 6
ОС
2. Развертывание ...................................................................................................................7
План внедрения .............................................................................................................................. 7
Р
2.1
2.2 Настройте отображение обнаружений EDR в веб-консоли Kaspersky Security Center ............ 8
СП
Настройте отчет об угрозах ..................................................................................................... 8
Включите отображение списка обнаружений ............................................................................ 9
Добавьте виджет ........................................................................................................................10
РА
2.3 Измените состав компонентов Kaspersky Endpoint Security .....................................................11
2.4 Активируйте EDR Optimum ..........................................................................................................12
2.5 Включите Kaspersky Endpoint Detection and Response .............................................................13
3.
И
Реагирование на событие обнаружения .......................................................................14
Ю
3.1 Как реагировать на событие обнаружения .................................................................................14
3.2 Детали обнаружения ....................................................................................................................16
И
1
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management.
Е НИ
АН
Глоссарий
ТР
EDR — Endpoint Detection and Response
ОС
IoC — Indicator of compromise, индикатор компрометации
Р
KEA — Kaspersky EDR Optimum
СП
KES — Kaspersky Endpoint Security
РА
KSC CC — Kaspersky Security Center Cloud Console
1
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. Часть 4. EDR Optimum
Е НИ
АН
1. Введение
ТР
1.1 Чего не хватает EPP-решению
Р ОС
СП
РА
И
И Ю
АН
ОВ
ИР
С начала 2010-х годов и по настоящий момент лавинообразно растет количество целевых атак на
различные компании по всему миру и во всех индустриях. (https://securelist.com/apt-trends-report-q1-
П
Конечные компьютеры пользователей интересны именно как стартовая точка для атаки. Если
Е
Kaspersky Endpoint Security for Windows эффективно защищает конечный узел непосредственно от
атак на конечное устройство, но не предоставляет всех необходимых инструментов для
ПО
2
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 1. Введение
Часть 4. EDR Optimum
НИ
Если конечные узлы защищены только с помощью Kaspersky Endpoint Security, то администратор
не имеет:
Е
— Наблюдаемости — события и отчеты Kaspersky Endpoint Security отображают только факт
обнаружения вредоносного объекта и действия, которые были выполнены или не
АН
выполнены с этим объектом.
Эти данные не позволяют определить вектор атаки и понять, на каком этапе реализации
она была предотвращена.
ТР
Например, Kaspersky Endpoint Security обнаружил и заблокировал попытку шифрования.
Событие содержит информацию, какая программа зашифровала файл. Администратору
будет тяжело понять, было это действие легитимным или нет. А отследить всю цепочку
ОС
событий, которая предшествовала этому действию, не сможет.
Р
системе, которые относятся к реализации атаки.
СП
— Инструментов анализа — чтобы определить приоритет инцидента и сценарий ответных
действий, необходимо выяснить, на каком этапе Kaspersky Endpoint Security обнаружил
атаку (проникновения, распространения или достижения целей). Специалисту ИБ чаще
всего придется брать информацию из дополнительных источников: журналов
РА
атакованного компьютера, сторонних утилит и т.д. Это очень неудобно и осложняет
реагирование на инцидент.
— Механизмов реагирования — Kaspersky Endpoint Security не позволяет детально
И
проанализировать инцидент, и, исходя из результатов анализа, быстро реализовать
ответные действия.
Ю
Как результат, администратор не может быть до конца уверен, что даже при обнаружении и
блокировании угрозы в его системе все хорошо: атака полностью нейтрализована, все ее
И
3
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 1. Введение
Часть 4. EDR Optimum
НИ
1.2 Расширение возможностей Kaspersky Endpoint Security для
бизнеса
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
АН
Kaspersky Endpoint Detection and Response Optimum — это продукт Лаборатории Касперского,
который требует отдельной лицензии.
ОВ
— удалить файл;
— поместить файл на карантин;
— удалённо завершить процесс;
Ж
4
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 1. Введение
Часть 4. EDR Optimum
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Kaspersky EDR Optimum является компонентом Kaspersky Endpoint Security.
И
аналитик могут проанализировать эту информацию в виде карточки инцидента через веб-
консоль Kaspersky Security Center. Это помогает понять, что происходило на конечном
устройстве до возникновения события обнаружения, и нужно ли принимать
дополнительные ответные меры.
ИР
5
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 1. Введение
Часть 4. EDR Optimum
НИ
1.3 Лицензирование
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Kaspersky EDR Optimum требует отдельной лицензии — Kaspersky EDR для бизнеса
АН
Оптимальный.
Лицензия Kaspersky EDR для бизнеса Оптимальный включает в себя все возможности лицензии
ОВ
6
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Развертывание
Часть 4. EDR Optimum
НИ
2. Развертывание
Е
АН
2.1 План внедрения
ТР
Р ОС
СП
РА
И
И Ю
АН
ОВ
Если в сети компании уже развернут Kaspersky Endpoint Security для бизнеса, но Kaspersky EDR
Optimum 2.3 не был добавлен в инсталляционный пакет, то план внедрения следующий:
ИР
3. Добавьте код активации или ключевой файл лицензии Kaspersky EDR Optimum в
хранилище на Сервере администрирования KSC и включите автоматическое
распространение кода или файла ключа лицензии.
Ж
Если в сети компании еще не установлен Kaspersky Endpoint Security для бизнеса, то используйте
ДЛ
этот же план внедрения, но на 2 шаге вместо задачи Change application components измените
состав инсталляционного пакета Kaspersky Endpoint Security и добавьте компонент Endpoint
Detection and Response Optimum. Как это можно сделать, мы обсуждали в первой части данного
ПО
курса.
НЕ
7
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Развертывание
Часть 4. EDR Optimum
НИ
Развертывание Kaspersky EDR Optimum не требует никаких дополнительных действий, кроме
установки и настройки компонента Endpoint Detection and Response Optimum. Вам не нужно
открывать дополнительные порты на межсетевых экранах, чтобы обеспечить работоспособность
Е
решения.
АН
2.2 Настройте отображение обнаружений EDR в веб-консоли
ТР
Kaspersky Security Center
ОС
Настройте отчет об угрозах
Р
СП
РА
И
И Ю
АН
ОВ
П ИР
Все события обнаружения Kaspersky Endpoint Security можно увидеть в отчете об угрозах.
КО
После установки и активации Kaspersky EDR Optimum, новые события обнаружения начнут
обогащаться дополнительной информацией.
ИТ
Чтобы просмотреть детали события из отчета Report on threats, вам нужно добавить в него поле
Open alert. Для этого:
Ж
4. Нажмите Add.
ПО
НЕ
8
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Развертывание
Часть 4. EDR Optimum
НИ
5. В выпадающем списке Field name выберите Open alert.
Если подходящего поля нет в списке, значит оно уже добавлено и должно отображаться в
Е
отчете.
АН
6. Так же добавьте поле Component.
7. Кнопкой Move up переместите добавленные поля на самый верх списка.
ТР
В графе Open alert вы увидите ссылку View alert для обогащенных событий. Вы можете перейти
по ней и ознакомиться с деталями события обнаружения.
ОС
В графе Component вы сможете увидеть компонент, который сработал.
Старые события обнаружения — события обнаружения, которые были получены до активации или
Р
установки Kaspersky EDR Optimum — не будут обогащаться деталями.
СП
Включите отображение списка обнаружений
РА
И
И Ю
АН
ОВ
П ИР
КО
ИТ
Также все события обнаружения отображаются в разделе Monitoring & Reporting | Alerts. Но по
умолчанию данный раздел скрыт в интерфейсе веб-консоли Kaspersky Security Center.
2.
9
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Развертывание
Часть 4. EDR Optimum
НИ
Добавьте виджет
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Также вы можете отобразить виджет Alerts на дэшборде Kaspersky Security Center. Виджет
АН
отображает:
— общий счетчик событий;
— количество событий с обогащенными данными;
ОВ
10
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Развертывание
Часть 4. EDR Optimum
НИ
2.3 Измените состав компонентов Kaspersky Endpoint Security
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Чтобы установить Kaspersky EDR для бизнеса Оптимальный на компьютеры, где уже установлен
АН
Kaspersky Endpoint Security для бизнеса, создайте задачу Change application components.
выберите компонент Endpoint Detection and Response Optimum. После этого запустите задачу и
дождитесь ее успешного завершения.
Чтобы установить Kaspersky EDR для бизнеса Оптимальный на компьютеры, где еще не
ИР
установлен Kaspersky Endpoint Security для бизнеса, измените состав инсталляционного пакета.
Перейдите в настройки инсталляционного пакета Kaspersky Endpoint Security и выберите
компонент Endpoint Detection and Response Optimum.
П
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
11
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Развертывание
Часть 4. EDR Optimum
НИ
2.4 Активируйте EDR Optimum
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Kaspersky EDR для бизнеса Оптимальный требует отдельной лицензии. Вы можете активировать
АН
его кодом или ключом. Подробнее процесс активации продуктов мы рассматривали в части I
данного курса.
ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
12
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Развертывание
Часть 4. EDR Optimum
НИ
2.5 Включите Kaspersky Endpoint Detection and Response
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
13
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
3. Реагирование на событие обнаружения
Е
АН
3.1 Как реагировать на событие обнаружения
ТР
Р ОС
СП
РА
И
И Ю
АН
ОВ
Прежде чем детально обсуждать детали события обнаружения, давайте рассмотрим схему
реагирования на событие обнаружения. Эта схема позволит нам наглядно понимать:
П
Важно сделать оговорку, что мы говорим про обобщенную схему действий. На практике каждая
организация должна иметь свои планы и сценарии действий для обработки инцидентов
ИТ
— Сдерживание угрозы;
— Проверка других компьютеров сети на наличие индикаторов компрометации;
НЕ
14
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
— Устранение угрозы и восстановление сети;
— Закрытие инцидента.
Е
На этапе анализа деталей обнаружения необходимо:
АН
— Классифицировать инцидент — определить, легитимна ли выявленная активность.
Если активность нелегитимная, то:
— Выяснить источник атаки и стадию, на которой была обнаружена атака.
ТР
— Обнаружить устройства, которые уже подверглись или могут подвергнуться данной
атаке.
ОС
— Определить приоритет инцидента — в зависимости от выставленного приоритета вам
необходимо определить план действий и назначить специалиста или группу специалистов,
которые будут расследовать и обрабатывать данный инцидент.
Р
Специалисты начинают расследование – они изучают собранные детали обнаружения, а также
СП
используют обнаруженные индикаторы компрометации, чтобы собрать больше информации.
РА
— изолируют хост, на котором обнаружена подозрительная активность;
— запрещают запуск подозрительных исполняемых файлов, документов или скриптов на
компьютерах сети;
И
— отправляют подозрительные файлы на карантин, чтобы они не могли причинить большего
вреда до окончания расследования.
Ю
После расследования рабочая группа принимает решение, можно ли закрыть инцидент или
предварительно необходимо устранить угрозы и восстановить сеть:
И
15
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
3.2 Детали обнаружения
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Все события обнаружения Kaspersky Endpoint Security можно увидеть в отчете об угрозах, который
АН
доступен в разделе Monitoring & Reporting | Reports. После установки и включения компонента
Endpoint Detection and Response Optimum, новые события обнаружения начнут обогащаться
дополнительной информацией. В графе Open alert появится ссылка View alert. Вы сможете
ОВ
Старые события обнаружения — события обнаружения, которые были получены до включения или
установки компонента Endpoint Detection and Response Optimum — не будут обогащаться
ИР
деталями.
Также все события обнаружения отображаются в разделе Monitoring & Reporting | Alerts. В
П
столбце Enrichment and response у обогащенного события будет ссылка More dеtails. Вы можете
перейти по ней и ознакомиться с деталями события обнаружения.
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
16
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
Обогащенные события
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
В верхней части карточки веб-консоль отображает информацию о статусе угрозы: была ли она
П
заблокирована.
КО
Под действием вы найдете граф цепочки вредоносных процессов, которые произошли перед
обнаружением. Граф отображает активность этих процессов: создание файлов, установление
соединений, внесение изменений в реестр. Объект, на котором сработала защитная технология,
отображен в виде иконки красного цвета.
ИТ
Е Ж
ДЛ
ПО
НЕ
17
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Ниже карточка инцидента содержит информацию об обнаруженном объекте:
— имя объекта и его расположение на целевом устройстве;
И
— категорию;
— время обнаружения и т.д.
АН
— IP-адрес;
— MAC-адрес;
— операционная система;
ИР
— параметры запуска;
— идентификатор процесса;
КО
В самом низу карточка инцидента содержит информацию о том, откуда был скачан вредоносный
файл, если она доступна.
Ж
затем удаляются.
ДЛ
Чтобы посмотреть детали события обнаружения, устройство, для которого было сгенерировано
обогащенное событие, не обязательно должно быть на связи с Сервером администрирования.
Если объем деталей события обнаружения не превышает 1 MB, то они целиком будут храниться
ПО
18
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
Требования для создания карточки обнаружения
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
— Защиты от эксплойтов;
— Анализа поведения;
— Предотвращения вторжений;
П
Также Kaspersky EDR Optimum создает карточку инцидента, если объект был обнаружен задачей
Malware scan.
ИТ
При этом Kaspersky EDR Optimum версии 2.3 не требует обязательной установки каких-либо
компонентов Kaspersky Endpoint Security для своей работы. Вместе с компонентом Endpoint
Detection and Response Optimum в систему ставятся все необходимые для получения
Ж
телеметрии драйвера.
Е
Первое, на что стоит обратить внимание, это статус угрозы. В нашем случае видно, что Kaspersky
Endpoint Security успешно заблокировал угрозу. Об этом говорит статус Success: Blocked.
ПО
19
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
Чтобы упростить анализ инцидента, иконка обнаруженного объекта окрашена в красный цвет.
Если щелкнуть любой объект в цепочке развития угрозы, открывается меню с подробной
Е
информацией о файле.
АН
ТР
Р ОС
СП
РА
И
И Ю
АН
— Использованные параметры командной строки. Эта часть может быть полезной при
неявном исполнении скриптов через Powershell или другие интерпретаторы;
ИР
— PID процесса;
— Уровень целостности процесса — по этому уровню можно определить, с какими правами
запущен процесс. Высокий уровень целостности говорит о том, что процесс был запущен с
П
20
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Администратор может запросить информацию об обнаруженном файле на портале OpenTIP. Для
этого перейдите по ссылке MD5 или SHA256 хеш-сумм или нажмите на ссылку Look up on the
И
portal.
АН
Если файл был обнаружен впервые или информации о файле мало, то это может быть признаком
того, что файл является источником целевой атаки или новой угрозой. Отсутствие информации об
угрозе всегда крайне опасно. Если вы обнаружили во время расследования инцидента файлы,
которые никогда раньше не встречались экспертам «Лаборатории Касперского», то мы
ОВ
OpenTIP.
Если файл является уже известной угрозой, портал OpenTIP покажет подробную информацию:
П
— его размер;
— имя обнаружения.
ИТ
Е Ж
ДЛ
ПО
НЕ
21
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
Информация о созданных файлах
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
файлы создали процессы, связанные с обнаружением. Нажмите для этого на иконку File drop.
Откроется список созданных файлов. Каждый файл вы можете изучить по отдельности.
Созданные файлы полезно дополнительно проанализировать, т.к. они могут являться источником
ОВ
устройстве.
ИТ
Е Ж
ДЛ
ПО
НЕ
22
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Еще один важный аспект — это подключения по сети, которые были установлены в рамках
реализации атаки. Чтобы посмотреть их, нажмите иконку Network connection.
И
Веб-адрес, источники ссылки (referrer запроса), user agent запроса и тип запроса (GET/POST)
будут показаны, только если запрос выполнялся по HTTP-протоколу.
П
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
23
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Вы можете получить дополнительную информацию об обнаруженном адресе на портале OpenTIP:
— какая репутация у удаленного адреса;
И
Плохая репутация говорит о том, что адрес уже был замечен в нелегитимных действиях.
ОВ
Подробная информация об адресе поможет понять спектр угроз, для реализации которых был
задействован данный ресурс. Это, в свою очередь, поможет быстрее оценить риски, связанные с
данной вредоносной активностью, для активов и сети компании.
ИР
Также особое внимание следует обращать на время первого появления адреса в сети. Ко всем
недавно созданным адресам следует относиться особенно внимательно, так как такие адреса
могут быть признаком того, что на компанию проводится целевая атака и данный адрес создан
П
реестре, которые произвели вредоносные процессы. Чтобы открыть список всех изменений,
нажмите на иконку Registry. На каждый объект вы можете кликнуть и открыть подробную
информацию.
Е Ж
ДЛ
ПО
НЕ
24
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
В реестре много мест, где может быть прописан запуск объектов на всех этапах загрузки
операционной системы.
И
ключи, у которых в поле Autorun point стоит значение yes. Данный ключ является точкой
автозапуска объекта. Большое количество вредоносных программ используют реестр как
отправную точку для запуска своих объектов.
ОВ
25
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
Информация о родительском процессе
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
В ходе анализа деталей события обнаружения также следует проверить, имеют ли родительские
АН
Если родительский процесс — это проводник Windows, веб-браузер или почтовая программа, то
скорее всего пользователь сам по неосторожности выполнил вредоносный файл.
ОВ
Если же родительский процесс сам по себе является малоизвестным файлом, это может
указывать на новую неизвестную угрозу и быть поводом для перехода к сдерживанию угрозы.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
26
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
3.3 Сдерживание угрозы
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Например, если первичный анализ деталей события показал, что в рамках вредоносной
активности устройство пытается установить большое количество сетевых соединений, загрузить
КО
или выгрузить объекты в интернет, то имеет смысл сразу перейти к сдерживанию — изолировать
устройство от сети и запретить запуск объектов. Инструментарий Endpoint Detection and
Response Optimum позволяет быстро и удобно сделать это прямо из карточки обнаружения.
ИТ
Изолируйте устройство
Ж
из карточки обнаружения.
ДЛ
Кнопка Isolate computer from the network включает изоляцию устройства и предельно
ограничивает его сетевую активность. Изоляция выполняется средствами Endpoint Detection and
Response Optimum. На изолируемом устройстве Kaspersky Endpoint Security отобразит
ПО
27
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Endpoint Detection and Response Optimum блокирует не все соединения.
И
— протокола DHCP;
— запросов к службе RPC Endpoint Mapper;
— протокола MADCAP;
ОВ
28
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
Е НИ
АН
ТР
Р ОС
СП
РА
И
И Ю
АН
ОВ
П ИР
КО
ИТ
Е Ж
Исключения из политики Kaspersky EDR Optimum применяет, когда изолирует устройство в ходе
автоматического ответного действия.
НЕ
29
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
Например, вы запустили задачу поиска индикаторов компрометации и настроили сетевую
изоляцию в качестве ответного действия. Если Kaspersky EDR Optimum обнаружит индикатор
компрометации на устройстве, то изолирует его от сети и разрешит те подключения, которые
Е
настроены в политике Kaspersky Endpoint Security.
АН
Как работать с задачей поиска индикаторов компрометации мы обсудим позже в этой части курса.
ТР
Если же вы изолируете устройство от сети, нажав кнопку Isolate computer from the network в
карточке инцидента или в свойствах устройства, то в этом случае Kaspersky EDR Optimum
разрешит устройству подключения, которые настроены в задаче Network isolation для этого
ОС
устройства.
Р
СП
РА
И
И Ю
АН
ОВ
ИР
isolation.
КО
Вы можете изменить или удалить все правила, которые содержит список исключений по
умолчанию. Также вы можете добавлять новые правила.
Вы можете:
ИТ
Набор правил исключений из профиля основан на рекомендациях Microsoft для различных служб и
Е
решений Microsoft, таких как Active Directory Domain Services, Microsoft SQL Server, Hyper-V, Remote
ДЛ
30
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
Если предустановленных правил недостаточно, вы можете самостоятельно создать свои
исключения для соединений по определенным протоколам и портам или для всех соединений,
которые устанавливают указанные приложения. Для этого нажмите Add.
Е
АН
Правило позволяет настроить следующие параметры:
— Направление соединения — Входящее, Исходящее, Входящее/исходящее;
— Протокол — протокол выбирается из списка, можно сразу настроить правило для всех
ТР
протоколов или выбрать пользовательский протокол;
— Задать локальные и удаленные порты, а также удаленный адрес подключения;
ОС
— Создать список приложений, для которых будет работать правило.
Р
СП
РА
И
И Ю
АН
ОВ
ИР
Политика Kaspersky Endpoint Security определяет, как долго будет активна изоляция устройства,
П
31
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
Запретите запуск объекта
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Вы можете запретить запуск файлов, которые были обнаружены во время атаки, на конечных
АН
Это значит, что средство защиты обнаруживает вредоносный файл не при каждом запуске, а
только тогда, когда с файлом выполняются определенные действия. Поскольку файл способен
выполнять вредоносные действия, лучше вообще не давать ему запускаться.
ИТ
Е Ж
ДЛ
ПО
НЕ
32
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Чтобы запрещающее правило сработало:
1. Включите запрет запуска объектов в политике Kaspersky Endpoint Security.
И
33
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
Вы можете создавать правила блокирования самостоятельно. Для этого нажмите Add в секции
Execution prevention.
Е
Существующие правила можно удалять, отключать, включать и изменять их настройки.
АН
Правило позволяет блокировать:
— исполняемые файлы;
ТР
— скрипты;
— документы Microsoft Office.
ОС
Объект можно заблокировать по контрольной сумме MD5 или SHA256 и/или пути к объекту.
Р
СП
РА
И
И Ю
АН
ОВ
ИР
34
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
Поместите файлы на карантин
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
процессы больше не смогут запустить его. Но если по завершении расследования окажется, что
файл все же не был опасным, его можно будет восстановить из карантина в исходную папку.
П
Таким образом вы можете поместить на карантин только файлы, у которых есть контрольная
ИТ
сумма.
Kaspersky Endpoint Security считает контрольные суммы только для исполняемых файлов.
Неисполняемые файлы можно поместить на карантин при помощи задач Get file и Move file to
Ж
35
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Задачи Get file и Move file to Quarantine имеют одинаковые настройки, но результат их
выполнения разный:
И
— Get file помещает копию файла на карантин и оставляет оригинал файла на месте.
— Move file to Quarantine перемещает сам файл на карантин, т.е. удаляет оригинал.
АН
36
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Ссылки на файлы, помещенные на карантин, видны в хранилище Operations | Repositories |
Quarantine в веб-консоли Kaspersky Security Center. Вы можете скачать эти файлы, если
И
требуется вручную проанализировать файл или передать его для анализа в «Лабораторию
Касперского».
АН
37
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
3.4 Проверьте компьютеры на наличие индикаторов
компрометации
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
АН
обращался опасный файл (после изучения репутации этих адресов на портале OpenTIP).
Ж
38
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
Индикатор компрометации (Indicator of Compromise, IoC) — объект (файл, ключ реестра и т.д.),
который указывает на компрометацию системы. Такие индикаторы используются для обнаружения
Е
вредоносной активности на ранней стадии, а также для предотвращения известных угроз.
АН
Например, карточка обнаружения может содержать информацию о создаваемых файлах и ключах
реестра, т.е. об индикаторах компрометации. Администратору важно понять, есть ли такие
индикаторы компрометации на других компьютерах. Наличие индикаторов компрометации может
ТР
означать, что вредоносный файл уже запускался и на других компьютерах сети. На таких
компьютерах, например, не было правильно настроенного средства защиты, которое могло бы
распознать и остановить атаку.
Р ОС
СП
РА
И
И Ю
АН
ОВ
ИР
Не все файлы в списке обязательно являются признаками компрометации, среди них вполне могут
ИТ
OpenIOC из выбранных файлов и ключей реестра. Условием поиска файлов является контрольная
сумма MD5, а условием поиска ключей реестра — полный путь к ключу, имя и значение
переменной в реестре. Если консоль не позволяет выбрать какие-то файлы в списке All alert
Е
events, значит на Kaspersky Security Center нет информации о MD5-сумме этих файлов.
ДЛ
ПО
НЕ
39
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Если вы выбрали несколько объектов, то для них формируется общий индикатор, состоящий из
отдельных условий для каждого объекта. Условия можно объединить логическим OR или AND:
И
— AND означает, что компьютер будет считаться скомпрометированным, если на нем есть
одновременно сразу все выбранные объекты (файлы и ключи реестра).
ОВ
Вы можете экспортировать созданный IoC в виде файла или тут же создать задачу поиска IoC на
компьютерах сети.
ИР
При создании задачи можно выбрать, какие действия она должна выполнять при обнаружении IoC:
— Изолировать устройство от сети — данное ответное действие следует применять
аккуратно, т.к. внезапная изоляция устройства может нарушить работу пользователя и
П
40
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
Задача поиска индикаторов компрометации
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Из карточки обнаружения создается групповая задача сканирования IoC. Задача будет иметь имя
АН
с префиксом IoC Scan from alert <название угрозы> <время обнаружения угрозы>.
Если задача поиска IoC была создана из карточки инцидента для поиска файлов, поиск файлов по
умолчанию производится только в критических областях (временные папки и папки загрузки всех
П
определенные папки на диске, либо системный диск, либо все диски на устройстве.
Также задача поиска IoC из карточки инцидента создается для группы администрирования
компьютера, на котором Kaspersky Endpoint Security обнаружил угрозу.
ИТ
Задачи поиска IoC, созданные из карточки обнаружения, запускаются однократно сразу после
создания.
Е Ж
ДЛ
ПО
НЕ
41
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
Изучите результаты поиска IoC
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
свойствах задачи перейдите на вкладку Application Settings в раздел IOC Scan Results. Здесь
отображены подробные результаты поиска IoC: на каких устройствах они были обнаружены, а на
каких — нет.
ОВ
По ссылке IOC detected открывается список результатов для выбранного компьютера. В нем
перечислены все индикаторы, используемые в задаче. У обнаруженных индикаторов в графе State
будет ссылка matched. Вы можете нажать на нее и открыть подробный протокол обнаружения с
ИР
42
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
В протоколе обнаружения видно, какие объекты на компьютере соответствуют условиям IoC. И
если IoC состоит из нескольких групп условий, связанных оператором OR, то будет подсвечена
И
43
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
Как мы уже говорили, задача поиска IoC из карточки инцидента создается для группы
администрирования компьютера, на котором Kaspersky Endpoint Security обнаружил угрозу.
Е
Не всегда это удобно — вы можете хотеть проверить все компьютеры в сети, а не только
АН
компьютеры из определенной группы.
Вы можете более гибко настроить задачу поиска IoC, если создадите ее вручную.
ТР
Чтобы создать задачу поиска IoC, необходимо в мастере создания задач Kaspersky Security Center
в выпадающем списке приложений выбрать Kaspersky Endpoint Security для Windows, а в типе
задач выбрать IOC Scan.
ОС
Настройте задачу поиска IoC
Р
СП
РА
И
И Ю
АН
ОВ
П ИР
2. В открывшемся окне нажмите на кнопку Add IOC files и укажите файлы в формате
Е
OpenIoC.
ДЛ
ПО
НЕ
44
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Задача поиска IoC сама распознаёт, какой тип данных необходимо искать.
И
Вы можете изменить область сканирования, в которой будет происходить поиск. Для этого:
1. Перейдите в раздел Advanced.
АН
Также в этом разделе вы можете задать период, когда были зафиксированы события для типа
данных EventLogItem. Для этого перейдите по ссылке Logs and dates и сконфигурируйте нужный
П
период. Более того, вы можете выбрать, в каких журналах Kaspersky EDR Optimum будет
КО
анализировать записи.
45
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
3.5 Устраните последствия
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
система не переустанавливалась.
2. Мы изолировали устройство от корпоративной сети прежде, чем начали проводить
детальный анализ и последующее расследование.
ИТ
3. Теперь мы уверены, что угрозы больше нет, и хотим снять сетевую изоляцию с
компьютера.
Е Ж
ДЛ
ПО
НЕ
46
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
Как обнаружить изолированное устройство
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Чтобы найти все изолированные устройства, нужно перейти в окно Devices | Tags | Device tags и
найти тег Isolated from network. Вы можете перейти по ссылке View devices и увидеть список
ИР
Обратите внимание: чтобы снять изоляцию с устройства, недостаточно просто снять тег в
П
47
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
Часть 4. EDR Optimum
НИ
Отключите изоляцию устройства
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Например, в консоли Kaspersky Security Center могут накапливаться задачи поиска IOC, созданные
в ходе расследования разных инцидентов. После того, как инцидент исчерпан и на компьютерах
больше не находятся признаки компрометации, хранить для инцидента отдельную задачу нет
большого смысла. Сотрудник службы безопасности может экспортировать IOC из задачи в файл и
П
загрузить его в общую задачу поиска IOC, которая запускается раз в неделю в относительно
КО
незагруженное время.
ИТ
Е Ж
ДЛ
ПО
НЕ
48