Types de réponse

Tout développer | Tout réduire

Les analystes SOC MDR examinent les incidents et créent des réponses que vous pouvez accepter ou refuser. Il s’agit de la manière par défaut de gérer les incidents dans Kaspersky Managed Detection and Response.

Cependant, vous pouvez créer manuellement des réponses à l’aide des fonctionnalités de Kaspersky Endpoint Detection and Response Optimum.

Cet article décrit uniquement les types de réponses de l’analyste SOC.

Chaque réponse peut avoir un ensemble de paramètres qui sont présents dans l’onglet Réponses d’un incident.

Les types de réponses disponibles sont les suivants :

• Obtenir le fichier

  Copier un fichier de votre infrastructure vers Kaspersky SOC. Si vous acceptez cette réponse, le fichier spécifié sera copié dans Kaspersky SOC.

  Notez que ce type de réponse permet d’obtenir des fichiers contenant des données personnelles et/ou confidentielles.

  Les paramètres possibles sont les suivants :

  • Chemin d’accès au fichier infecté

    Le chemin d’accès absolu du fichier. Par exemple, C:\\file.exe.

  • Taille maximale du fichier

    La taille maximale du fichier, en Mo.

    Si le fichier infecté dépasse la taille de fichier maximale spécifiée, la tentative d’acceptation de la réponse échouera, et la réponse ne sera pas effectuée, mais s’affichera dans l’onglet Historique d’un incident.

• Isoler

  Isoler la ressource spécifiée du réseau.

  Si vous devez désactiver d’urgence l’isolation du réseau, veuillez contacter le Support technique ou formuler une demande sous l’onglet Communication de l’incident.

  Les paramètres possibles sont les suivants :

  • Mot de passe pour désactiver l’isolation

    Le mot de passe pour désactiver l’isolation. Une fois que le support technique aura reçu votre demande de désactivation de l’isolation du réseau, il vous enverra la procédure à suivre avec les détails concernant l’utilisation du mot de passe.

  • Identifiant de la tâche

    L’identifiant de tâche unique utilisé en association avec le Mot de passe pour désactiver l’isolation pour la désactivation manuelle de l’isolation réseau.

  • Détails du mot de passe

    Vous pouvez vérifier la validité du mot de passe en générant une clé dérivée à partir de celui-ci et en comparant la valeur résultante avec la valeur du paramètre Clé dérivée.

    • Version

      La version numérique des règles de création de mot de passe. Une version de 1 signifie que les paramètres suivants de PBKDF2 sont appliqués pour créer une clé dérivée :

      • Algorithme de hachage HMACSHA256
      • 10 000 itérations
      • Longueur de clé de 32 octets
    • Sel

      Le sel au format HEX pour obtenir une clé dérivée via PBKDF2.

    • Clé dérivée

      La clé dérivée au format HEX.

  • Période d’isolation de la ressource

    Période en secondes après laquelle l’isolation sera automatiquement désactivée. Si aucune période personnalisée n’est définie, la période par défaut de sept jours est appliquée. La valeur maximale est de 2 678 400 secondes.

  • Règles d’exclusion

    Tableau de règles avec les ports, les protocoles, les adresses IP et les processus personnalisés auxquels l’isolation n’est pas appliquée.

    • Direction

      Le sens du trafic. Les valeurs possibles sont : entrant, sortant, et entrant et sortant.

    • Protocole

      Le numéro de protocole selon la spécification IANA.

      Les valeurs possibles sont les suivantes :

      • 1 (ICMP)
      • 6 (TCP)
      • 17 (UDP)
      • 58 (IPv6-ICMP)
    • Plage de ports distants

      La plage de ports distants spécifiés dans les champs imbriqués De et À.

    • Adresse IPv4 distante

      L’adresse IPv4 distante ou le masque de sous-réseau.

    • Adresse IPv6 distante

      L’adresse IPv6 distante ou le masque de sous-réseau.

    • Plage de ports locaux

      La plage de ports locaux spécifiés dans les champs imbriqués De et À.

    • Adresse IPv4 locale

      L’adresse IPv4 locale ou le masque de sous-réseau.

    • Adresse IPv6 locale

      L’adresse IPv6 locale ou le masque de sous-réseau.

    • Processus

      Le chemin d’accès à l’image de processus spécifié dans le champ imbriqué Image → Chemin.

• Désactiver l’isolation

  Désactivation de l’isolation du réseau de la ressource spécifiée.

• Supprimer la clé de registre

  Suppression d’une clé de registre ou d’une branche de registre sur la ressource spécifiée.

  Les paramètres possibles sont les suivants :

  • Clé

    Le chemin de la clé absolu, qui commence par HKEY_LOCAL_MACHINE ou HKEY_USERS. Par exemple, HKEY_LOCAL_MACHINE\\SYSTEM\\WebClient.

    Si la clé est un lien symbolique, seule cette clé sera supprimée tandis que la clé cible du lien restera intacte.

  • Valeur

    La valeur clé.

    Si ce paramètre n’est pas spécifié, la clé sera supprimée de manière récursive. Lors de la suppression récursive, chaque sous-clé qui est un lien symbolique sera supprimée tandis que sa clé cible restera intacte.

    Si la valeur de la clé est une chaîne vide, la valeur par défaut sera supprimée.

• Vidage de mémoire

  Création d’un vidage de mémoire et envoi à Kaspersky SOC.

  Les paramètres possibles sont les suivants :

  • Type de vidage

    Un vidage de mémoire peut être de l’un des deux types suivants :

    • Vidage complet de la mémoire

      Un vidage de la mémoire entière d’un appareil.

    • Vidage du processus

      Un vidage d’un processus spécifié.

  • Taille maximale du fichier

    La taille maximale du fichier pour le vidage au format ZIP, en Mo. La valeur par défaut est de 100 Mo.

  • Processus

    L’identifiant du processus et les détails de l’image.

    • Image
      • Chemin d’accès

        Le chemin d’accès absolu du fichier. Par exemple, %systemroot%\\system32\\svchost.exe.

      • SHA-256

        La somme de contrôle SHA-256 au format HEX.

      • MD5

        La somme de contrôle MD5 au format HEX.

    • Identifiant unique

      L’identifiant unique du processus.

  • Limite du nombre de processus

    Le nombre maximal de processus pouvant être contenus dans le fichier de vidage.

• Terminer le processus

  Terminez le processus sur la ressource indiquée avec Kaspersky Endpoint Security for Windows. Le processus à arrêter peut être indiqué par son nom ou son identificateur de processus (PID).