KL 002.12.1 KSC Kes Student Guide Unit4 Ru v0.6

KL 002.12.1: Kaspersky Endpoint Security and Management. Часть 4.
EDR Optimum
KL 002.12.1
Kaspersky Endpoint
Security and
Management
Часть 4. EDR Optimum
Учебный курс
1
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. Часть 4. EDR Optimum
Е НИ
Содержание
АН
1. Введение .............................................................................................................................2
ТР
1.1 Чего не хватает EPP-решению ...................................................................................................... 2
1.2 Расширение возможностей Kaspersky Endpoint Security для бизнеса ...................................... 4
1.3 Лицензирование .............................................................................................................................. 6
ОС
2. Развертывание ...................................................................................................................7
План внедрения .............................................................................................................................. 7
Р
2.1
2.2 Настройте отображение обнаружений EDR в веб-консоли Kaspersky Security Center ............ 8
СП
Настройте отчет об угрозах ..................................................................................................... 8
Включите отображение списка обнаружений ............................................................................ 9
Добавьте виджет ........................................................................................................................10
РА
2.3 Измените состав компонентов Kaspersky Endpoint Security .....................................................11
2.4 Активируйте EDR Optimum ..........................................................................................................12
2.5 Включите Kaspersky Endpoint Detection and Response .............................................................13
3.
И
Реагирование на событие обнаружения .......................................................................14
Ю
3.1 Как реагировать на событие обнаружения .................................................................................14
3.2 Детали обнаружения ....................................................................................................................16
И
Обогащенные события ...............................................................................................................17

Требования для создания карточки обнаружения ...................................................................19
АН
Информация об обнаруженном объекте ...................................................................................19

Информация о созданных файлах ..............................................................................................22
Информация о внедрениях и сетевых соединениях ................................................................22
Информация об изменениях в реестре .....................................................................................24
ОВ
Информация о родительском процессе ....................................................................................26

3.3 Сдерживание угрозы ....................................................................................................................27
ИР
Изолируйте устройство ............................................................................................................27

Запретите запуск объекта .......................................................................................................32
Поместите файлы на карантин ...............................................................................................35
П
3.4 Проверьте компьютеры на наличие индикаторов компрометации ..........................................38

Создайте индикатор компрометации ......................................................................................38
КО
Задача поиска индикаторов компрометации...........................................................................41

Изучите результаты поиска IoC ..............................................................................................42
Создайте задачу поиска IoC .......................................................................................................43
Настройте задачу поиска IoC ....................................................................................................44
ИТ
3.5 Устраните последствия ................................................................................................................46

Как обнаружить изолированное устройство ..........................................................................47
Ж
Отключите изоляцию устройства ...........................................................................................48

Е
ДЛ
ПО
НЕ
1
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management.
Е НИ
АН
Глоссарий
ТР
EDR — Endpoint Detection and Response
EPP — Endpoint Protection Platform
ОС
IoC — Indicator of compromise, индикатор компрометации
Р
KEA — Kaspersky EDR Optimum
СП
KES — Kaspersky Endpoint Security
KSC — Kaspersky Security Center
РА
KSC CC — Kaspersky Security Center Cloud Console
OpenTIP — Open Threat Intelligence Portal, публичный портал «Лаборатории Касперского» с

информацией об угрозах безопасности И
Агент администрирования — Агент администрирования Kaspersky Security Center
Ю
Сервер администрирования — Сервер администрирования Kaspersky Security Center

И
АН
ОВ
П ИР
КО
ИТ
Ж
Е
ДЛ
ПО
НЕ
1
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. Часть 4. EDR Optimum
Е НИ
АН
1. Введение
ТР
1.1 Чего не хватает EPP-решению
Р ОС
СП
РА
И
И Ю
АН
ОВ
ИР
С начала 2010-х годов и по настоящий момент лавинообразно растет количество целевых атак на
различные компании по всему миру и во всех индустриях. (https://securelist.com/apt-trends-report-q1-
П
2023/109581/, https://securelist.com/apt-trends-report-q3-2022/107787/, https://securelist.com/tag/apt/ ).

КО
Целевая атака — это кибератака, которую злоумышленники разрабатывают специально для

компрометации определенной системы или объекта.
Целевые атаки могут иметь различные векторы развития, проводиться в несколько этапов,
использовать для своей реализации на том или ином этапе легальное программное обеспечение.
ИТ
Обнаружить угрозы такого типа чрезвычайно трудно.

Ж
Злоумышленники редко ставят себе основной целью конечный компьютер пользователя.
Конечные компьютеры пользователей интересны именно как стартовая точка для атаки. Если
Е
злоумышленник сможет скомпрометировать компьютер одного из пользователей, то он получает

ДЛ
шанс развить атаку.
Kaspersky Endpoint Security for Windows эффективно защищает конечный узел непосредственно от
атак на конечное устройство, но не предоставляет всех необходимых инструментов для
ПО
противодействия многосоставным атакам.

НЕ
2
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 1. Введение
НИ
Если конечные узлы защищены только с помощью Kaspersky Endpoint Security, то администратор
не имеет:
Е
— Наблюдаемости — события и отчеты Kaspersky Endpoint Security отображают только факт
обнаружения вредоносного объекта и действия, которые были выполнены или не
АН
выполнены с этим объектом.
Эти данные не позволяют определить вектор атаки и понять, на каком этапе реализации
она была предотвращена.
ТР
Например, Kaspersky Endpoint Security обнаружил и заблокировал попытку шифрования.
Событие содержит информацию, какая программа зашифровала файл. Администратору
будет тяжело понять, было это действие легитимным или нет. А отследить всю цепочку
ОС
событий, которая предшествовала этому действию, не сможет.
Вектор атаки в данном случае — это последовательность действий и изменений в
Р
системе, которые относятся к реализации атаки.
СП
— Инструментов анализа — чтобы определить приоритет инцидента и сценарий ответных
действий, необходимо выяснить, на каком этапе Kaspersky Endpoint Security обнаружил
атаку (проникновения, распространения или достижения целей). Специалисту ИБ чаще
всего придется брать информацию из дополнительных источников: журналов
РА
атакованного компьютера, сторонних утилит и т.д. Это очень неудобно и осложняет
реагирование на инцидент.
— Механизмов реагирования — Kaspersky Endpoint Security не позволяет детально
И
проанализировать инцидент, и, исходя из результатов анализа, быстро реализовать
ответные действия.
Ю
Как результат, администратор не может быть до конца уверен, что даже при обнаружении и
блокировании угрозы в его системе все хорошо: атака полностью нейтрализована, все ее
И
последствия устранены, в операционных системах и приложениях не осталось

несанкционированных изменений и утечки данных не произошло.
АН
ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
3
Ю
НИ
1.2 Расширение возможностей Kaspersky Endpoint Security для
бизнеса
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
АН
Kaspersky Endpoint Detection and Response Optimum — это продукт Лаборатории Касперского,
который требует отдельной лицензии.
ОВ
Функционально Kaspersky Endpoint Detection and Response Optimum — это расширение

возможностей EPP-решения Kaspersky Endpoint Security для бизнеса.
ИР
Kaspersky EDR Optimum позволяет:

— Анализировать причины возникновения инцидента.
П
— Сдерживать распространение угрозы:

— изолировать устройство;
КО
— блокировать запуск подозрительных объектов.

— Реагировать на угрозу в режиме реального времени:
— получить файл с конечного устройства для дополнительного анализа;
ИТ
— удалить файл;
— поместить файл на карантин;
— удалённо завершить процесс;
Ж
— запустить программу для дополнительной отчистки компьютера.

— Создавать и искать индикаторы компрометации (IoC).
Е
ДЛ
ПО
НЕ
4
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Kaspersky EDR Optimum является компонентом Kaspersky Endpoint Security.
И
Kaspersky Security Center обеспечивает централизованное управление, а Kaspersky Endpoint

Security — автоматическое обнаружение и обезвреживание угроз.
АН
Kaspersky EDR Optimum:

— Собирает дополнительную информацию вокруг обнаружения угрозы. Администратор и
ОВ
аналитик могут проанализировать эту информацию в виде карточки инцидента через веб-
консоль Kaspersky Security Center. Это помогает понять, что происходило на конечном
устройстве до возникновения события обнаружения, и нужно ли принимать
дополнительные ответные меры.
ИР
— Предоставляет меры по сдерживанию угрозы. Администратор может:

— изолировать конечное устройство от сети;
П
— поместить обнаруженные объекты в карантин для последующего анализа.

— Запрещает запуск исполняемых файлов, скриптов или документов.
КО
— Создает задачи поиска индикаторов компрометации (IoC) на управляемых устройствах.

Администратор может создать IoC на основе данных, полученных из телеметрии, или
использовать сторонние ресурсы, публикующие информацию об IoC (например,
ИТ
securelist.com или другие публичные источники).

— В задачах поиска IoC позволяет настроить автоматические ответные действия, которые
Kaspersky EDR Optimum выполнит, если обнаружит индикаторы компрометации:
Ж
— дополнительно проверить компьютер с помощью Kaspersky Endpoint Security for

Windows;
Е
— поместить файл на карантин;

ДЛ
— изолировать компьютер от сети.

ПО
НЕ
5
Ю
НИ
1.3 Лицензирование
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Kaspersky EDR Optimum требует отдельной лицензии — Kaspersky EDR для бизнеса
АН
Оптимальный.
Лицензия Kaspersky EDR для бизнеса Оптимальный включает в себя все возможности лицензии
ОВ
Kaspersky Endpoint Security для бизнеса Расширенный и дополнительно возможность

использовать инструменты EDR.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
6
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 2. Развертывание
НИ
2. Развертывание
Е
АН
2.1 План внедрения
ТР
Р ОС
СП
РА
И
И Ю
АН
ОВ
Если в сети компании уже развернут Kaspersky Endpoint Security для бизнеса, но Kaspersky EDR
Optimum 2.3 не был добавлен в инсталляционный пакет, то план внедрения следующий:
ИР
1. Настройте веб-консоль Kaspersky Security Center:

— Добавьте в отчет об угрозах поля Component и Open Alert, чтобы отображать
компонент, который сработал, и кнопку для перехода к карточке инцидента.
П
— Отобразите список обнаружений EDR в боковом меню Monitoring & reporting.

КО
— Добавьте виджет Alerts на дэшборд.

2. Создайте задачу Change application components, чтобы добавить компонент Endpoint
Detection and Response Optimum в уже установленную версию.
ИТ
3. Добавьте код активации или ключевой файл лицензии Kaspersky EDR Optimum в
хранилище на Сервере администрирования KSC и включите автоматическое
распространение кода или файла ключа лицензии.
Ж
4. Включите компонент Endpoint Detection and Response в политике Kaspersky Endpoint

Security.
Е
Если в сети компании еще не установлен Kaspersky Endpoint Security для бизнеса, то используйте
ДЛ
этот же план внедрения, но на 2 шаге вместо задачи Change application components измените
состав инсталляционного пакета Kaspersky Endpoint Security и добавьте компонент Endpoint
Detection and Response Optimum. Как это можно сделать, мы обсуждали в первой части данного
ПО
курса.
НЕ
7
Ю
НИ
Развертывание Kaspersky EDR Optimum не требует никаких дополнительных действий, кроме
установки и настройки компонента Endpoint Detection and Response Optimum. Вам не нужно
открывать дополнительные порты на межсетевых экранах, чтобы обеспечить работоспособность
Е
решения.
АН
2.2 Настройте отображение обнаружений EDR в веб-консоли
ТР
Kaspersky Security Center
ОС
Настройте отчет об угрозах
Р
СП
РА
И
И Ю
АН
ОВ
П ИР
Все события обнаружения Kaspersky Endpoint Security можно увидеть в отчете об угрозах.
КО
Администратор может просмотреть отчет в разделе Monitoring & reporting | Reports.
После установки и активации Kaspersky EDR Optimum, новые события обнаружения начнут
обогащаться дополнительной информацией.
ИТ
Чтобы просмотреть детали события из отчета Report on threats, вам нужно добавить в него поле
Open alert. Для этого:
Ж
1. Перейдите в раздел Monitoring & reporting | Reports.

2. Выберите отчет Report on threats и нажмите Open report template properties.
Е
3. Перейдите на вкладку Fields.

ДЛ
4. Нажмите Add.
ПО
НЕ
8
Ю
НИ
5. В выпадающем списке Field name выберите Open alert.
Если подходящего поля нет в списке, значит оно уже добавлено и должно отображаться в
Е
отчете.
АН
6. Так же добавьте поле Component.
7. Кнопкой Move up переместите добавленные поля на самый верх списка.
ТР
В графе Open alert вы увидите ссылку View alert для обогащенных событий. Вы можете перейти
по ней и ознакомиться с деталями события обнаружения.
ОС
В графе Component вы сможете увидеть компонент, который сработал.
Старые события обнаружения — события обнаружения, которые были получены до активации или
Р
установки Kaspersky EDR Optimum — не будут обогащаться деталями.
СП
Включите отображение списка обнаружений
РА
И
И Ю
АН
ОВ
П ИР
КО
ИТ
Также все события обнаружения отображаются в разделе Monitoring & Reporting | Alerts. Но по
умолчанию данный раздел скрыт в интерфейсе веб-консоли Kaspersky Security Center.
Чтобы включить отображение раздела Alerts:

Ж
1. Откройте раздел KSC\<<Имя пользователя, под которым выполнено подключение к

Е
Серверу администрирования>> | Interface options.

Включите опцию Show EDR alerts.
ДЛ
2.
В списке вы найдете все события — и с обогащенными данными, и простые. В столбце

Enrichment and response у обогащенного события будет ссылка More dеtails. Вы можете перейти
ПО
по ней и ознакомиться с деталями события обнаружения.

НЕ
9
Ю
НИ
Добавьте виджет
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Также вы можете отобразить виджет Alerts на дэшборде Kaspersky Security Center. Виджет
АН
отображает:
— общий счетчик событий;
— количество событий с обогащенными данными;
ОВ
— количество простых событий.
Мы подробно рассматривали, как работать с дэшбордом и добавлять виджеты, в части IV данного

курса.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
10
Ю
НИ
2.3 Измените состав компонентов Kaspersky Endpoint Security
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Чтобы установить Kaspersky EDR для бизнеса Оптимальный на компьютеры, где уже установлен
АН
Kaspersky Endpoint Security для бизнеса, создайте задачу Change application components.
Когда вы создадите задачу, откройте ее свойства, перейдите на вкладку Application settings и

ОВ
выберите компонент Endpoint Detection and Response Optimum. После этого запустите задачу и
дождитесь ее успешного завершения.
Чтобы установить Kaspersky EDR для бизнеса Оптимальный на компьютеры, где еще не
ИР
установлен Kaspersky Endpoint Security для бизнеса, измените состав инсталляционного пакета.
Перейдите в настройки инсталляционного пакета Kaspersky Endpoint Security и выберите
компонент Endpoint Detection and Response Optimum.
П
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
11
Ю
НИ
2.4 Активируйте EDR Optimum
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Kaspersky EDR для бизнеса Оптимальный требует отдельной лицензии. Вы можете активировать
АН
его кодом или ключом. Подробнее процесс активации продуктов мы рассматривали в части I
данного курса.
ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
12
Ю
НИ
2.5 Включите Kaspersky Endpoint Detection and Response
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
По умолчанию Kaspersky Endpoint Detection and Response выключен в политике Kaspersky

АН
Endpoint Security. Поэтому после установки компонента на управляемые устройства необходимо:

1. Открыть свойства политики Kaspersky Endpoint Security.
ОВ
2. Перейти на вкладку Application settings в раздел Detection and Response.

3. Открыть настройки Endpoint Detection and Response и включить компонент.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
13
Ю
KL 002.12.1: Kaspersky Endpoint Security and Management. 3. Реагирование на событие обнаружения
НИ
3. Реагирование на событие обнаружения
Е
АН
3.1 Как реагировать на событие обнаружения
ТР
Р ОС
СП
РА
И
И Ю
АН
ОВ
Итак, мы получили обогащенное событие обнаружения и выяснили, где в веб-консоли Kaspersky

Security Center можно посмотреть детали обнаружения.
ИР
Прежде чем детально обсуждать детали события обнаружения, давайте рассмотрим схему
реагирования на событие обнаружения. Эта схема позволит нам наглядно понимать:
П
— на каком этапе мы находимся;

— что уже было сделано;
КО
— какие действия необходимо предпринять на следующем этапе.
Важно сделать оговорку, что мы говорим про обобщенную схему действий. На практике каждая
организация должна иметь свои планы и сценарии действий для обработки инцидентов
ИТ
безопасности. Эти планы должны учитывать множество деталей:

— тип события и его классификацию;
— особенности бизнес-процессов компании;
Ж
— нюансы архитектуры сети;

— возможности специалистов отдела ИТ-безопасности;
— используемые программы защиты и т.д.
Е
ДЛ
Реагирование на событие обнаружения включает в себя следующие этапы:

— Анализ деталей обнаружения;
— Расследование;
ПО
— Сдерживание угрозы;
— Проверка других компьютеров сети на наличие индикаторов компрометации;
НЕ
14
Ю
НИ
— Устранение угрозы и восстановление сети;
— Закрытие инцидента.
Е
На этапе анализа деталей обнаружения необходимо:
АН
— Классифицировать инцидент — определить, легитимна ли выявленная активность.
Если активность нелегитимная, то:
— Выяснить источник атаки и стадию, на которой была обнаружена атака.
ТР
— Обнаружить устройства, которые уже подверглись или могут подвергнуться данной
атаке.
ОС
— Определить приоритет инцидента — в зависимости от выставленного приоритета вам
необходимо определить план действий и назначить специалиста или группу специалистов,
которые будут расследовать и обрабатывать данный инцидент.
Р
Специалисты начинают расследование – они изучают собранные детали обнаружения, а также
СП
используют обнаруженные индикаторы компрометации, чтобы собрать больше информации.
Во время расследования специалисты сдерживают угрозу. Они:
РА
— изолируют хост, на котором обнаружена подозрительная активность;
— запрещают запуск подозрительных исполняемых файлов, документов или скриптов на
компьютерах сети;
И
— отправляют подозрительные файлы на карантин, чтобы они не могли причинить большего
вреда до окончания расследования.
Ю
После расследования рабочая группа принимает решение, можно ли закрыть инцидент или
предварительно необходимо устранить угрозы и восстановить сеть:
И
— завершить вредоносные процессы;

— удалить объекты;
АН
— выполнить какие-либо команды на хосте;

— снять сетевую изоляцию;
— восстановить легитимные файлы из карантина;
ОВ
— и другие действия по восстановлению.

П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
15
Ю
НИ
3.2 Детали обнаружения
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Все события обнаружения Kaspersky Endpoint Security можно увидеть в отчете об угрозах, который
АН
доступен в разделе Monitoring & Reporting | Reports. После установки и включения компонента
Endpoint Detection and Response Optimum, новые события обнаружения начнут обогащаться
дополнительной информацией. В графе Open alert появится ссылка View alert. Вы сможете
ОВ
перейти по ней и ознакомиться с деталями события обнаружения.
Старые события обнаружения — события обнаружения, которые были получены до включения или
установки компонента Endpoint Detection and Response Optimum — не будут обогащаться
ИР
деталями.
Также все события обнаружения отображаются в разделе Monitoring & Reporting | Alerts. В
П
столбце Enrichment and response у обогащенного события будет ссылка More dеtails. Вы можете
перейти по ней и ознакомиться с деталями события обнаружения.
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
16
Ю
НИ
Обогащенные события
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Обогащенное событие, или карточка инцидента, включает в себя:

АН
— действие, которое Kaspersky Endpoint Security применил к угрозе;

— цепочку вредоносных событий в виде графа;
— информацию об обнаружении;
ОВ
— информацию об устройстве, на котором произошло обнаружение;

— информацию о вредоносном процессе;
— информацию об обнаруженном объекте;
— данные из Kaspersky Open Threat Intelligence Portal;
ИР
— историю появления файлов на устройстве.
В верхней части карточки веб-консоль отображает информацию о статусе угрозы: была ли она
П
заблокирована.
КО
Под действием вы найдете граф цепочки вредоносных процессов, которые произошли перед
обнаружением. Граф отображает активность этих процессов: создание файлов, установление
соединений, внесение изменений в реестр. Объект, на котором сработала защитная технология,
отображен в виде иконки красного цвета.
ИТ
Е Ж
ДЛ
ПО
НЕ
17
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Ниже карточка инцидента содержит информацию об обнаруженном объекте:
— имя объекта и его расположение на целевом устройстве;
И
— категорию;
— время обнаружения и т.д.
АН
Также приведена информация об устройстве:

— доменное имя компьютера;
ОВ
— IP-адрес;
— MAC-адрес;
— операционная система;
ИР
— расположение устройства в иерархии групп Kaspersky Security Center.
Вы можете посмотреть подробности о процессе, ответственном за вредоносный объект:

П
— параметры запуска;
— идентификатор процесса;
КО
— уровень привилегий и другая информация.
Карточка инцидента отображает краткую информацию по обнаруженному объекту с портала

Kaspersky Open Threat Intelligence. Вы можете кликнуть на ссылку Look up on the portal и перейти
ИТ
на портал, чтобы изучить дополнительные подробности.
В самом низу карточка инцидента содержит информацию о том, откуда был скачан вредоносный
файл, если она доступна.
Ж
Детали события обнаружения хранятся на Сервере администрирования в течение 30 дней, а

Е
затем удаляются.
ДЛ
Чтобы посмотреть детали события обнаружения, устройство, для которого было сгенерировано
обогащенное событие, не обязательно должно быть на связи с Сервером администрирования.
Если объем деталей события обнаружения не превышает 1 MB, то они целиком будут храниться
ПО
на Сервере администрирования. Если превышает, то часть информации будет храниться на

Сервере администрирования, а часть — на управляемом устройстве.
НЕ
18
Ю
НИ
Требования для создания карточки обнаружения
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Компонент Endpoint Detection and Response Optimum не генерирует события обнаружения. Он

АН
обогащает события обнаружения от других компонентов Kaspersky Endpoint Security данными

телеметрии и формирует карточку обнаружения.
Kaspersky EDR Optimum формирует карточку инцидента при срабатывании:

ОВ
— Защиты от файловых угроз;

— Защиты от веб-угроз;
— Защиты от почтовых угроз;
ИР
— Защиты от эксплойтов;
— Анализа поведения;
— Предотвращения вторжений;
П
— Отката вредоносных действий;

— Адаптивного контроля аномалий.
КО
Также Kaspersky EDR Optimum создает карточку инцидента, если объект был обнаружен задачей
Malware scan.
ИТ
При этом Kaspersky EDR Optimum версии 2.3 не требует обязательной установки каких-либо
компонентов Kaspersky Endpoint Security для своей работы. Вместе с компонентом Endpoint
Detection and Response Optimum в систему ставятся все необходимые для получения
Ж
телеметрии драйвера.
Е
Информация об обнаруженном объекте

ДЛ
Первое, на что стоит обратить внимание, это статус угрозы. В нашем случае видно, что Kaspersky
Endpoint Security успешно заблокировал угрозу. Об этом говорит статус Success: Blocked.
ПО
Далее проанализируйте, какие исполняемые файлы были вовлечены в атаку.

НЕ
19
Ю
НИ
Чтобы упростить анализ инцидента, иконка обнаруженного объекта окрашена в красный цвет.
Если щелкнуть любой объект в цепочке развития угрозы, открывается меню с подробной
Е
информацией о файле.
АН
ТР
Р ОС
СП
РА
И
И Ю
АН
Открывшееся окно содержит подробную информацию об объекте:

— Дата и время запуска;
ОВ
— Использованные параметры командной строки. Эта часть может быть полезной при
неявном исполнении скриптов через Powershell или другие интерпретаторы;
ИР
— PID процесса;
— Уровень целостности процесса — по этому уровню можно определить, с какими правами
запущен процесс. Высокий уровень целостности говорит о том, что процесс был запущен с
П
полными правами администратора;

— Информация о пользователе, который запустил обнаруженный объект;
КО
— MD5 и SHA256 хеш-суммы файла;

— Группа доверия, в которую файл попал согласно классификации «Лаборатории
Касперского».
ИТ
Е Ж
ДЛ
ПО
НЕ
20
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Администратор может запросить информацию об обнаруженном файле на портале OpenTIP. Для
этого перейдите по ссылке MD5 или SHA256 хеш-сумм или нажмите на ссылку Look up on the
И
portal.
АН
Если файл был обнаружен впервые или информации о файле мало, то это может быть признаком
того, что файл является источником целевой атаки или новой угрозой. Отсутствие информации об
угрозе всегда крайне опасно. Если вы обнаружили во время расследования инцидента файлы,
которые никогда раньше не встречались экспертам «Лаборатории Касперского», то мы
ОВ
рекомендуем повысить его приоритет до наивысшего.
Если вы сомневаетесь в легитимности файла, то вы также можете его проверить на портале

ИР
OpenTIP.
Если файл является уже известной угрозой, портал OpenTIP покажет подробную информацию:
П
— когда данный файл был впервые обнаружен;

— формат файла;
КО
— его размер;
— имя обнаружения.
ИТ
Е Ж
ДЛ
ПО
НЕ
21
Ю
НИ
Информация о созданных файлах
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Продолжая изучать детали обнаруженной вредоносной активности, вы можете посмотреть, какие

АН
файлы создали процессы, связанные с обнаружением. Нажмите для этого на иконку File drop.
Откроется список созданных файлов. Каждый файл вы можете изучить по отдельности.
Созданные файлы полезно дополнительно проанализировать, т.к. они могут являться источником
ОВ
распространения угрозы внутри организации, способствовать утечке информации или повторно

инициировать запуск вредоносного файла после загрузки системы.
ИР
Информация о внедрениях и сетевых соединениях

П
В информацию о внедрениях обычно попадают данные об исполняемых файлах, замеченных в

атаке. Эта информация помогает определить, остались ли исполняемые файлы на целевом
КО
устройстве.
ИТ
Е Ж
ДЛ
ПО
НЕ
22
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Еще один важный аспект — это подключения по сети, которые были установлены в рамках
реализации атаки. Чтобы посмотреть их, нажмите иконку Network connection.
И
Здесь можно посмотреть:

АН
— Время и дату, когда было установлено соединение.

— Локальный и удаленный адрес и порт подключения — вы можете проанализировать
журнал сетевых соединений на прокси-сервере и выяснить, какие еще устройства
ОВ
подключались на этот адрес по данному порту. Таким образом, вы сможете определить

список устройств, которые могли быть скомпрометированы.
ИР
Веб-адрес, источники ссылки (referrer запроса), user agent запроса и тип запроса (GET/POST)
будут показаны, только если запрос выполнялся по HTTP-протоколу.
П
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
23
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Вы можете получить дополнительную информацию об обнаруженном адресе на портале OpenTIP:
— какая репутация у удаленного адреса;
И
— популярность удаленного удраеса;

— когда впервые появился в сети;
АН
— где и кем он зарезервирован.
Плохая репутация говорит о том, что адрес уже был замечен в нелегитимных действиях.
ОВ
Подробная информация об адресе поможет понять спектр угроз, для реализации которых был
задействован данный ресурс. Это, в свою очередь, поможет быстрее оценить риски, связанные с
данной вредоносной активностью, для активов и сети компании.
ИР
Также особое внимание следует обращать на время первого появления адреса в сети. Ко всем
недавно созданным адресам следует относиться особенно внимательно, так как такие адреса
могут быть признаком того, что на компанию проводится целевая атака и данный адрес создан
П
специально для этого.

КО
Информация об изменениях в реестре

Также карточка инцидента представляет информацию о созданных ключах и изменениях в
ИТ
реестре, которые произвели вредоносные процессы. Чтобы открыть список всех изменений,
нажмите на иконку Registry. На каждый объект вы можете кликнуть и открыть подробную
информацию.
Е Ж
ДЛ
ПО
НЕ
24
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
В реестре много мест, где может быть прописан запуск объектов на всех этапах загрузки
операционной системы.
И
При анализе изменений в реестре мы рекомендуем в первую очередь обратить внимание на

АН
ключи, у которых в поле Autorun point стоит значение yes. Данный ключ является точкой
автозапуска объекта. Большое количество вредоносных программ используют реестр как
отправную точку для запуска своих объектов.
ОВ
Такими объектами может выступать легитимное программное обеспечение с хорошей репутацией.

Злоумышленники используют его, чтобы провести определенный этап атаки и максимально
затруднить обнаружение нелегитимной активности средствами защиты.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
25
Ю
НИ
Информация о родительском процессе
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
В ходе анализа деталей события обнаружения также следует проверить, имеют ли родительские
АН
процессы отношение к атаке и являются ли они подозрительными и вредоносными.
Если родительский процесс — это проводник Windows, веб-браузер или почтовая программа, то
скорее всего пользователь сам по неосторожности выполнил вредоносный файл.
ОВ
Если же родительский процесс сам по себе является малоизвестным файлом, это может
указывать на новую неизвестную угрозу и быть поводом для перехода к сдерживанию угрозы.
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
26
Ю
НИ
3.3 Сдерживание угрозы
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Следующий этап после завершения анализа угрозы — сдерживание угрозы.

АН
Чтобы прекратить распространение угрозы среди устройств компании, мы рекомендуем выполнить

следующие действия:
ОВ
— Изолируйте скомпрометированные устройства от сети;

— Запретите запуск объектов, обнаруженных в атаке;
— Поместите подозрительные файлы на карантин;
ИР
— При необходимости получите объекты для дальнейшего анализа.

На практике некоторые действия по сдерживанию лучше применять практически сразу, до
проведения подробного анализа деталей обнаружения.
П
Например, если первичный анализ деталей события показал, что в рамках вредоносной
активности устройство пытается установить большое количество сетевых соединений, загрузить
КО
или выгрузить объекты в интернет, то имеет смысл сразу перейти к сдерживанию — изолировать
устройство от сети и запретить запуск объектов. Инструментарий Endpoint Detection and
Response Optimum позволяет быстро и удобно сделать это прямо из карточки обнаружения.
ИТ
Изолируйте устройство
Ж
Чтобы приступить к сдерживанию угрозы, администратору не нужно использовать сторонние

инструменты или переключаться между консолями — основные средства сдерживания доступны
Е
из карточки обнаружения.
ДЛ
Кнопка Isolate computer from the network включает изоляцию устройства и предельно
ограничивает его сетевую активность. Изоляция выполняется средствами Endpoint Detection and
Response Optimum. На изолируемом устройстве Kaspersky Endpoint Security отобразит
ПО
уведомление пользователю о том, что компьютер был изолирован от сети.

НЕ
27
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Endpoint Detection and Response Optimum блокирует не все соединения.
И
Компонент содержит набор исключений для:

— запросов DNS;
АН
— протокола DHCP;
— запросов к службе RPC Endpoint Mapper;
— протокола MADCAP;
ОВ
— процессов, которые относятся к программам «Лаборатории Касперского»:

— Kaspersky Security Center;
— Kaspersky Security Center Network Agent;
ИР
— Kaspersky Endpoint Security.
Администратор также может добавить свои исключения.

П
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
28
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
И Ю
АН
ОВ
П ИР
КО
ИТ
Е Ж
Вы можете настроить исключения для сетевой изоляции в нескольких местах веб-консоли

Kaspersky Security Center:
ДЛ
— в политике Kaspersky Endpoint Security for Windows;

— в задачах устройства.
ПО
Исключения из политики Kaspersky EDR Optimum применяет, когда изолирует устройство в ходе
автоматического ответного действия.
НЕ
29
Ю
НИ
Например, вы запустили задачу поиска индикаторов компрометации и настроили сетевую
изоляцию в качестве ответного действия. Если Kaspersky EDR Optimum обнаружит индикатор
компрометации на устройстве, то изолирует его от сети и разрешит те подключения, которые
Е
настроены в политике Kaspersky Endpoint Security.
АН
Как работать с задачей поиска индикаторов компрометации мы обсудим позже в этой части курса.
ТР
Если же вы изолируете устройство от сети, нажав кнопку Isolate computer from the network в
карточке инцидента или в свойствах устройства, то в этом случае Kaspersky EDR Optimum
разрешит устройству подключения, которые настроены в задаче Network isolation для этого
ОС
устройства.
Р
СП
РА
И
И Ю
АН
ОВ
ИР
Интерфейс списка правил исключений одинаков и в политике, и в свойствах задачи Network

П
isolation.
КО
Вы можете изменить или удалить все правила, которые содержит список исключений по
умолчанию. Также вы можете добавлять новые правила.
Вы можете:
ИТ
— добавить набор правил из профиля;

— сконфигурировать новые правила.
Ж
Чтобы добавить правила из профиля, нажмите Add from profile.
Набор правил исключений из профиля основан на рекомендациях Microsoft для различных служб и
Е
решений Microsoft, таких как Active Directory Domain Services, Microsoft SQL Server, Hyper-V, Remote
ДЛ
Desktop Services и т.д.
Если в ходе расследования инцидента понадобится подключиться к заблокированному устройству

с помощью RDP или запустить программу, достаточно будет добавить исключения из профиля для
ПО
Remote Desktop Services и Remote Procedure Call.

НЕ
30
Ю
НИ
Если предустановленных правил недостаточно, вы можете самостоятельно создать свои
исключения для соединений по определенным протоколам и портам или для всех соединений,
которые устанавливают указанные приложения. Для этого нажмите Add.
Е
АН
Правило позволяет настроить следующие параметры:
— Направление соединения — Входящее, Исходящее, Входящее/исходящее;
— Протокол — протокол выбирается из списка, можно сразу настроить правило для всех
ТР
протоколов или выбрать пользовательский протокол;
— Задать локальные и удаленные порты, а также удаленный адрес подключения;
ОС
— Создать список приложений, для которых будет работать правило.
Р
СП
РА
И
И Ю
АН
ОВ
ИР
Политика Kaspersky Endpoint Security определяет, как долго будет активна изоляция устройства,
П
если оно было изолировано в ходе автоматического ответного действия.

КО
Если же устройство было изолировано вручную, то длительность изоляции определяется в

параметрах задачи устройства Network isolation.
По умолчанию устройство будет изолировано на 8 часов. Мы не рекомендуем уменьшать время

ИТ
изоляции, чтобы Endpoint Detection and Response Optimum не разблокировал устройство до

того, как специалисты полностью завершат расследование и справятся с угрозой.
Е Ж
ДЛ
ПО
НЕ
31
Ю
НИ
Запретите запуск объекта
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Вы можете запретить запуск файлов, которые были обнаружены во время атаки, на конечных
АН
устройствах. Достаточно в панели с подробностями о файле нажать кнопку Prevent execution, и в

политике Kaspersky Endpoint Security будет создано запрещающее правило.
Правило, созданное из карточки инцидента, имеет в названии префикс “[KillChain] md5”. По

ОВ
умолчанию запрещающее правило работает только по хеш-сумме MD5.
В рассматриваемом примере правило блокирования оправданно, несмотря на то, что процесс в

ИР
конечном итоге был обнаружен и завершен средством защиты.
В деталях обнаружения вредоносной активности видно, что исполняемый файл sw_test.exe

П
является родительским процессом (который не был обнаружен), а также запускает дочерний

процесс plzib.exe (который был обнаружен).
КО
Это значит, что средство защиты обнаруживает вредоносный файл не при каждом запуске, а
только тогда, когда с файлом выполняются определенные действия. Поскольку файл способен
выполнять вредоносные действия, лучше вообще не давать ему запускаться.
ИТ
Е Ж
ДЛ
ПО
НЕ
32
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Чтобы запрещающее правило сработало:
1. Включите запрет запуска объектов в политике Kaspersky Endpoint Security.
И
2. Выберите параметр Block and write to report.

АН
3. Закройте замок в секции Execution prevention.
По умолчанию режим блокировки отключен и выбран параметр Log events only.

ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
33
Ю
НИ
Вы можете создавать правила блокирования самостоятельно. Для этого нажмите Add в секции
Execution prevention.
Е
Существующие правила можно удалять, отключать, включать и изменять их настройки.
АН
Правило позволяет блокировать:
— исполняемые файлы;
ТР
— скрипты;
— документы Microsoft Office.
ОС
Объект можно заблокировать по контрольной сумме MD5 или SHA256 и/или пути к объекту.
Р
СП
РА
И
И Ю
АН
ОВ
ИР
Если пользователь попытается запустить файл, который запрещен правилом, то Kaspersky

Endpoint Security выведет сообщение о запрете запуска, а операционная система отобразит
П
уведомление об отсутствии доступа к файлу.

КО
ИТ
Е Ж
ДЛ
ПО
НЕ
34
Ю
НИ
Поместите файлы на карантин
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
На карантин имеет смысл помещать файлы, на которые средство защиты не среагировало, но

АН
которые не выглядят частью операционной системы или хорошо известного ПО.
Характерными признаками таких файлов будет отсутствие цифровой подписи и низкая

популярность по данным портала OpenTIP.
ОВ
Помещение на карантин перемещает файл из исходной папки в специальное зашифрованное

локальное хранилище Kaspersky Endpoint Security. Таким образом, ни пользователь, ни другие
ИР
процессы больше не смогут запустить его. Но если по завершении расследования окажется, что
файл все же не был опасным, его можно будет восстановить из карантина в исходную папку.
П
Чтобы поместить файл на карантин из карточки события обнаружения:

1. Нажмите на имя файла, чтобы открыть панель с подробностями о нем.
КО
2. Нажмите Move to Quarantine.
Таким образом вы можете поместить на карантин только файлы, у которых есть контрольная
ИТ
сумма.
Kaspersky Endpoint Security считает контрольные суммы только для исполняемых файлов.
Неисполняемые файлы можно поместить на карантин при помощи задач Get file и Move file to
Ж
Quarantine, которые необходимо создавать вручную.

Е
ДЛ
ПО
НЕ
35
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Задачи Get file и Move file to Quarantine имеют одинаковые настройки, но результат их
выполнения разный:
И
— Get file помещает копию файла на карантин и оставляет оригинал файла на месте.
— Move file to Quarantine перемещает сам файл на карантин, т.е. удаляет оригинал.
АН
В качестве параметров для этих задач укажите:

— устройства, на которых будет выполняться задача;
ОВ
— полный путь к файлу или полный путь и контрольную сумму.

П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
36
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Ссылки на файлы, помещенные на карантин, видны в хранилище Operations | Repositories |
Quarantine в веб-консоли Kaspersky Security Center. Вы можете скачать эти файлы, если
И
требуется вручную проанализировать файл или передать его для анализа в «Лабораторию
Касперского».
АН
Для скачивания выберите файл и нажмите Download.

ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
37
Ю
НИ
3.4 Проверьте компьютеры на наличие индикаторов
компрометации
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
АН
Вы переместили подозрительный файл в карантин и заблокировали его запуск. Теперь можно не

беспокоиться о повторной попытке запустить этот файл на данной машине.
ОВ
Теперь необходимо проверить, присутствует ли аналогичный подозрительный файл на других

машинах сети, и если да, избавиться от него.
ИР
Для этого подходят следующие средства:

— Задача поиска индикаторов компрометации (IoC-ов) ищет файлы на компьютерах и может
автоматически помещать найденные файлы на карантин.
П
— Задачи Удалить файл, Завершить процесс и Запустить программу позволяют точечно

КО
устранить опасный объект. В частности, задача Запустить программу позволяет

расширить инструментарий реагирования за счет любых сторонних утилит.
— Компонент Web control в составе Kaspersky Endpoint Security позволяет блокировать
заданные соединения. С его помощью можно запретить доступ к адресам, на которые
ИТ
обращался опасный файл (после изучения репутации этих адресов на портале OpenTIP).
Ж
Создайте индикатор компрометации

Е
Поиск индикаторов компрометации — очень мощный инструмент, с помощью которого можно

находить следы вредоносной активности на компьютерах сети. Администратор может создать IoC
ДЛ
из карточки обнаружения вредоносной активности, сформировать на основе данных из открытых

источников (securelist.com) или получить готовый файл от стороннего поставщика IoC.
ПО
НЕ
38
Ю
НИ
Индикатор компрометации (Indicator of Compromise, IoC) — объект (файл, ключ реестра и т.д.),
который указывает на компрометацию системы. Такие индикаторы используются для обнаружения
Е
вредоносной активности на ранней стадии, а также для предотвращения известных угроз.
АН
Например, карточка обнаружения может содержать информацию о создаваемых файлах и ключах
реестра, т.е. об индикаторах компрометации. Администратору важно понять, есть ли такие
индикаторы компрометации на других компьютерах. Наличие индикаторов компрометации может
ТР
означать, что вредоносный файл уже запускался и на других компьютерах сети. На таких
компьютерах, например, не было правильно настроенного средства защиты, которое могло бы
распознать и остановить атаку.
Р ОС
СП
РА
И
И Ю
АН
ОВ
ИР
Можно легко сформировать описание индикаторов компрометации в формате OpenIOC прямо из

карточки обнаружения. Для этого:
П
1. Перейдите на вкладку All alert events.

КО
2. Отметьте объекты, которые являются признаками вредоносной активности.

3. Нажмите кнопку Create IOC.
Не все файлы в списке обязательно являются признаками компрометации, среди них вполне могут
ИТ
быть стандартные файлы Windows.
Kaspersky EDR Оптимальный автоматически формирует индикаторы компрометации в формате

Ж
OpenIOC из выбранных файлов и ключей реестра. Условием поиска файлов является контрольная
сумма MD5, а условием поиска ключей реестра — полный путь к ключу, имя и значение
переменной в реестре. Если консоль не позволяет выбрать какие-то файлы в списке All alert
Е
events, значит на Kaspersky Security Center нет информации о MD5-сумме этих файлов.
ДЛ
ПО
НЕ
39
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Если вы выбрали несколько объектов, то для них формируется общий индикатор, состоящий из
отдельных условий для каждого объекта. Условия можно объединить логическим OR или AND:
И
— OR означает, что компьютер будет считаться скомпрометированным, если на нем есть

хотя бы один из выбранных объектов.
АН
— AND означает, что компьютер будет считаться скомпрометированным, если на нем есть
одновременно сразу все выбранные объекты (файлы и ключи реестра).
ОВ
Вы можете экспортировать созданный IoC в виде файла или тут же создать задачу поиска IoC на
компьютерах сети.
ИР
При создании задачи можно выбрать, какие действия она должна выполнять при обнаружении IoC:
— Изолировать устройство от сети — данное ответное действие следует применять
аккуратно, т.к. внезапная изоляция устройства может нарушить работу пользователя и
П
даже функционирование организации в целом, если IoC будет обнаружен на сервере.

— Запустить сканирование критических областей.
КО
— Поместить файл на карантин.

ИТ
Е Ж
ДЛ
ПО
НЕ
40
Ю
НИ
Задача поиска индикаторов компрометации
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Из карточки обнаружения создается групповая задача сканирования IoC. Задача будет иметь имя
АН
с префиксом IoC Scan from alert <название угрозы> <время обнаружения угрозы>.
Администратор может создать несколько задач из одной карточки обнаружения. Например, он

может выделить группу индикаторов с высокой достоверностью и сделать для них задачу, которая
ОВ
будет помещать файлы на карантин. А для индикаторов с низкой достоверностью он может

создать задачу, которая будет просто запускать поиск угроз средством защиты. Все задачи,
созданные из одной карточки, получают одинаковые имена, так что имеет смысл переименовывать
ИР
их, чтобы не запутаться.
Если задача поиска IoC была создана из карточки инцидента для поиска файлов, поиск файлов по
умолчанию производится только в критических областях (временные папки и папки загрузки всех
П
пользователей на устройстве). Область поиска можно переопределить в свойствах задачи, указав

КО
определенные папки на диске, либо системный диск, либо все диски на устройстве.
Также задача поиска IoC из карточки инцидента создается для группы администрирования
компьютера, на котором Kaspersky Endpoint Security обнаружил угрозу.
ИТ
Задачи поиска IoC, созданные из карточки обнаружения, запускаются однократно сразу после
создания.
Е Ж
ДЛ
ПО
НЕ
41
Ю
НИ
Изучите результаты поиска IoC
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Чтобы узнать статус выполнения задачи и были ли найдены индикаторы на компьютерах, в

АН
свойствах задачи перейдите на вкладку Application Settings в раздел IOC Scan Results. Здесь
отображены подробные результаты поиска IoC: на каких устройствах они были обнаружены, а на
каких — нет.
ОВ
По ссылке IOC detected открывается список результатов для выбранного компьютера. В нем
перечислены все индикаторы, используемые в задаче. У обнаруженных индикаторов в графе State
будет ссылка matched. Вы можете нажать на нее и открыть подробный протокол обнаружения с
ИР
именами обнаруженных файлов (или других объектов).

П
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
42
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
В протоколе обнаружения видно, какие объекты на компьютере соответствуют условиям IoC. И
если IoC состоит из нескольких групп условий, связанных оператором OR, то будет подсвечена
И
группа, условиям которой соответствуют найденные файлы (или другие объекты).

АН
Создайте задачу поиска IoC

ОВ
П ИР
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
43
Ю
НИ
Как мы уже говорили, задача поиска IoC из карточки инцидента создается для группы
администрирования компьютера, на котором Kaspersky Endpoint Security обнаружил угрозу.
Е
Не всегда это удобно — вы можете хотеть проверить все компьютеры в сети, а не только
АН
компьютеры из определенной группы.
Вы можете более гибко настроить задачу поиска IoC, если создадите ее вручную.
ТР
Чтобы создать задачу поиска IoC, необходимо в мастере создания задач Kaspersky Security Center
в выпадающем списке приложений выбрать Kaspersky Endpoint Security для Windows, а в типе
задач выбрать IOC Scan.
ОС
Настройте задачу поиска IoC
Р
СП
РА
И
И Ю
АН
ОВ
П ИР
В свойствах задачи вы можете импортировать индикаторы компрометации в формате OpenIOC.

КО
Вы можете загрузить как экспортированный IoC-файл из карточки инцидента, так и сторонние

индикаторы компрометации.
Вы можете загрузить несколько IoC-файлов в рамках одной задачи.

ИТ
Чтобы добавить IoC файлы:

1. Нажмите на кнопку Redefine IOC files.
Ж
2. В открывшемся окне нажмите на кнопку Add IOC files и укажите файлы в формате
Е
OpenIoC.
ДЛ
ПО
НЕ
44
Ю
Е НИ
АН
ТР
Р ОС
СП
РА
И
Ю
Задача поиска IoC сама распознаёт, какой тип данных необходимо искать.
И
Вы можете изменить область сканирования, в которой будет происходить поиск. Для этого:
1. Перейдите в раздел Advanced.
АН
2. Нажмите IOC documents под типом FileItem.

3. Включите опцию Scan custom areas.
ОВ
4. Нажмите Add и добавьте новые области сканирования.
С настройками по умолчанию задача ищет в важных областях на компьютерах, что подразумевает

ИР
временные папки и папки загрузки всех пользователей на компьютере.
Также в этом разделе вы можете задать период, когда были зафиксированы события для типа
данных EventLogItem. Для этого перейдите по ссылке Logs and dates и сконфигурируйте нужный
П
период. Более того, вы можете выбрать, в каких журналах Kaspersky EDR Optimum будет
КО
анализировать записи.
В разделе Advanced вы можете выключить поиск по определенным типам индикаторов

компрометации, но мы не рекомендуем этого делать. Задача с такой настройкой может не найти
какие-то вредоносные файлы и угроза сохранится в вашей сети.
ИТ
Е Ж
ДЛ
ПО
НЕ
45
Ю
НИ
3.5 Устраните последствия
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Процесс устранения последствий заражения и восстановления работоспособности устройства

АН
зависит от многих факторов:

— степени деструктивного воздействия вредоносной активности;
— внутренних регламентов организации и т.д.
ОВ
Устранение последствий и восстановление работоспособности могут сводиться как к полной

переустановке операционной системы и программного обеспечения, так и к определенному набору
ИР
действий, связанных с восстановлением работоспособности — удалению вредоносных объектов,

чистке реестра и т.д.
Мы будем исходить из следующих предположений:

П
1. Мы провели набор действий по устранению последствий заражения, операционная

КО
система не переустанавливалась.
2. Мы изолировали устройство от корпоративной сети прежде, чем начали проводить
детальный анализ и последующее расследование.
ИТ
3. Теперь мы уверены, что угрозы больше нет, и хотим снять сетевую изоляцию с
компьютера.
Е Ж
ДЛ
ПО
НЕ
46
Ю
НИ
Как обнаружить изолированное устройство
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Компьютер может быть изолирован от сети:

АН
— вручную из карточки обнаружения или свойств устройства;

— автоматически в результате выполнения задачи поиска индикаторов компрометации.
ОВ
В обоих случаях компьютеру присваивается тег Isolated from network.
Чтобы найти все изолированные устройства, нужно перейти в окно Devices | Tags | Device tags и
найти тег Isolated from network. Вы можете перейти по ссылке View devices и увидеть список
ИР
изолированных от сети устройств.
Обратите внимание: чтобы снять изоляцию с устройства, недостаточно просто снять тег в
П
свойствах устройства! Необходимо отключить изоляцию в карточке обнаружения или в свойствах

программы Kaspersky Endpoint Security, установленной на устройстве.
КО
ИТ
Е Ж
ДЛ
ПО
НЕ
47
Ю
НИ
Отключите изоляцию устройства
Е
АН
ТР
Р ОС
СП
РА
И
И Ю
Чтобы отключить сетевую изоляцию, необходимо перейти в свойства устройства, открыть

АН
настройки приложения Kaspersky Endpoint Security, перейти на вкладку Application settings в

раздел Detection and Response, открыть настройки области Endpoint Detection and Response и
нажать кнопку Unblock computer isolated from the network.
ОВ
Завершив расследование инцидента, необходимо подумать, как использовать полученные

сведения для улучшения защиты сети и оптимизации процессов расследования и реагирования.
ИР
Например, в консоли Kaspersky Security Center могут накапливаться задачи поиска IOC, созданные
в ходе расследования разных инцидентов. После того, как инцидент исчерпан и на компьютерах
больше не находятся признаки компрометации, хранить для инцидента отдельную задачу нет
большого смысла. Сотрудник службы безопасности может экспортировать IOC из задачи в файл и
П
загрузить его в общую задачу поиска IOC, которая запускается раз в неделю в относительно
КО
незагруженное время.
ИТ
Е Ж
ДЛ
ПО
НЕ
48

KL 002.12.1 KSC Kes Student Guide Unit4 Ru v0.6

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

KL 002.12.1 KSC Kes Student Guide Unit4 Ru v0.6

Uploaded by

Copyright:

Available Formats

KL 002.12.1: Kaspersky Endpoint Security and Management. Часть 4.

Часть 4. EDR Optimum

Обогащенные события ...............................................................................................................17

Информация об обнаруженном объекте ...................................................................................19

Информация о родительском процессе ....................................................................................26

Изолируйте устройство ............................................................................................................27

3.4 Проверьте компьютеры на наличие индикаторов компрометации ..........................................38

Задача поиска индикаторов компрометации...........................................................................41

3.5 Устраните последствия ................................................................................................................46

Отключите изоляцию устройства ...........................................................................................48

EPP — Endpoint Protection Platform

KSC — Kaspersky Security Center

OpenTIP — Open Threat Intelligence Portal, публичный портал «Лаборатории Касперского» с

Сервер администрирования — Сервер администрирования Kaspersky Security Center

2023/109581/, https://securelist.com/apt-trends-report-q3-2022/107787/, https://securelist.com/tag/apt/ ).

Целевая атака — это кибератака, которую злоумышленники разрабатывают специально для

Обнаружить угрозы такого типа чрезвычайно трудно.

Злоумышленники редко ставят себе основной целью конечный компьютер пользователя.

злоумышленник сможет скомпрометировать компьютер одного из пользователей, то он получает

шанс развить атаку.

противодействия многосоставным атакам.

Вектор атаки в данном случае — это последовательность действий и изменений в

последствия устранены, в операционных системах и приложениях не осталось

Функционально Kaspersky Endpoint Detection and Response Optimum — это расширение

Kaspersky EDR Optimum позволяет:

— Сдерживать распространение угрозы:

— блокировать запуск подозрительных объектов.

— запустить программу для дополнительной отчистки компьютера.

Kaspersky Security Center обеспечивает централизованное управление, а Kaspersky Endpoint

Kaspersky EDR Optimum:

— Предоставляет меры по сдерживанию угрозы. Администратор может:

— поместить обнаруженные объекты в карантин для последующего анализа.

— Создает задачи поиска индикаторов компрометации (IoC) на управляемых устройствах.

securelist.com или другие публичные источники).

— дополнительно проверить компьютер с помощью Kaspersky Endpoint Security for

— поместить файл на карантин;

— изолировать компьютер от сети.

Kaspersky Endpoint Security для бизнеса Расширенный и дополнительно возможность

1. Настройте веб-консоль Kaspersky Security Center:

— Отобразите список обнаружений EDR в боковом меню Monitoring & reporting.

— Добавьте виджет Alerts на дэшборд.

4. Включите компонент Endpoint Detection and Response в политике Kaspersky Endpoint

Администратор может просмотреть отчет в разделе Monitoring & reporting | Reports.

1. Перейдите в раздел Monitoring & reporting | Reports.

3. Перейдите на вкладку Fields.

Чтобы включить отображение раздела Alerts:

1. Откройте раздел KSC\<<Имя пользователя, под которым выполнено подключение к

Серверу администрирования>> | Interface options.

В списке вы найдете все события — и с обогащенными данными, и простые. В столбце

по ней и ознакомиться с деталями события обнаружения.

— количество простых событий.

Мы подробно рассматривали, как работать с дэшбордом и добавлять виджеты, в части IV данного

Когда вы создадите задачу, откройте ее свойства, перейдите на вкладку Application settings и

По умолчанию Kaspersky Endpoint Detection and Response выключен в политике Kaspersky

Endpoint Security. Поэтому после установки компонента на управляемые устройства необходимо:

2. Перейти на вкладку Application settings в раздел Detection and Response.

Итак, мы получили обогащенное событие обнаружения и выяснили, где в веб-консоли Kaspersky

— на каком этапе мы находимся;

— какие действия необходимо предпринять на следующем этапе.

безопасности. Эти планы должны учитывать множество деталей:

— нюансы архитектуры сети;

Реагирование на событие обнаружения включает в себя следующие этапы:

Во время расследования специалисты сдерживают угрозу. Они: