Перейти к содержанию

EDR действия

О механизме активных действий, доступных в рамках интеграции RT Protect EDR, можно ознакомиться в разделе Активные действия.

EDR действия могут находиться в следующих состояниях:

  • Активно – действие становится доступным при настройке правил корреляции и при работе над активами;
  • Неактивно – действие добавлено в платформу, но не может быть использовано.

Работа с EDR действиями включает в себя следующие процессы:

Для работы с EDR действиями перейдите в раздел ПараметрыEDR действия (см. рисунок 1).

Рисунок 1 – Раздел "EDR действия"

Создание EDR действия

  1. Нажмите кнопку Создать. Откроется форма Создание действия EDR (см. рисунок 2).

    Рисунок 2 – Форма "Создание действия EDR"

  2. Укажите на форме следующую информацию:

    • в поле Тип интеграции из выпадающего списка выберите значение "RT Protect EDR";
    • в поле Наименование действия укажите наименование EDR действия;
    • в блоке полей Переменные добавьте необходимое количество параметров по которым будет выполнено действие:
      • нажмите кнопку +;
      • в поле Переменная выберите тип параметра: строка, число, логический;
      • в поле Название параметра укажите название параметра для отображения в платформе;
      • в поле Имя параметра укажите наименование параметра. По указанному значению будут выполняться команды для ОС Linux и Windows.
    • в блоке полей Команды Linux и Команды Windows добавьте необходимое количество команд для ОС Linux и Windows. Команды будут исполняться в заданном порядке. Для изменения порядка исполнения команд используйте кнопки  , ;
    • для активации действия в поле Статус установите переключатель в положение "Включен".
  3. Нажмите кнопку Сохранить.

Просмотр EDR действия

Для просмотра информации об EDR действии нажмите кнопку в строке нужного действия. Откроется форма "Просмотр действия EDR".

Информация на форме разделена по трем вкладкам:

  • Основные настройки – информация о параметрах EDR действия;
  • Связанные интеграции – информация об интеграциях, в которых задействовано действие;
  • Логи выполненных действий – журнал выполнения действия EDR.

Основные настройки

Пример вкладки "Основные настройки" приведен на рисунке 3.

Рисунок 3 – Форма "Просмотр действия EDR". Вкладка "Основные настройки"

На вкладке отображается следующая информация:

  • Тип интеграции – наименование типа интеграции, к которой относится действие;
  • Наименование действия –название EDR действия в платформе;
  • Переменные – информация о параметрах EDR действия: Тип переменной, Название действия, Имя действия;
  • Команды Linux – список команд для ОС Linux;
  • Команды Windows – список команд для ОС Windows;
  • Информация о состоянии EDR действия: Активно, Неактивно.

Связанные интеграции

Пример вкладки "Связанные интеграции" приведен на рисунке 4.

Рисунок 4 – Форма "Просмотр действия EDR". Вкладка "Связанные интеграции"

На вкладке отображается список интеграций, в которых используется EDR действие, а также состояние интеграции.

Логи выполненных действий

Пример вкладки "Логи выполненных действий" приведен на рисунке 5.

Рисунок 5 – Форма "Просмотр действия EDR". Вкладка "Логи выполненных действий"

На вкладке отображается следующая информация:

  • Актив – наименование актива, на котором выполнено EDR действие;
  • Параметры – информация о параметрах выполненного действия;
  • Выполнено – дата и время выполнения действия;
  • Кем выполнено – информация об инициаторе выполнения действия, например, правило корреляции или пользователь;
  • Интеграция – наименование интеграции, в рамках которой было выполнено действие;
  • Команда – наименование EDR действия;
  • Дата старта – дата и время запуска исполнения действия;

  • Код возврата – ответ, полученный при выполнении действия:

    • 0 – успешный ответ;
    • 1 – при выполнении действия возникли ошибки.

Для просмотра результата выполнения действия нажмите кнопку в соответствующей строке. Откроется окно "Результат" (см. рисунок 6).

Рисунок 6 – Окно "Результат"

Редактирование EDR действия

Открыть EDR действие на редактирование можно двумя способами:

  • На главной странице раздела нажмите кнопку в строке нужного EDR действия.
  • Перейдите на форму просмотра необходимого EDR действия и нажмите кнопку Редактировать.

Для редактирования EDR действия выполните следующие действия:

  1. Откройте EDR действие на редактирование.
  2. Внесите необходимые изменения.
  3. Нажмите кнопку Сохранить.

Дублирование EDR действия

  1. Откройте EDR действие на просмотр.

  2. Нажмите кнопку Дублировать. Откроется окно "Дублировать действие EDR" (см. рисунок 7).

    Рисунок 7 – Окно "Дублировать действие EDR"

  3. При необходимости измените наименование действия и нажмите кнопку Дублировать.

  4. Будет создано новое EDR действие на основе существующего.

Изменение статуса EDR действия

Для изменения статуса EDR действия в графе "Статус" установите переключатель в соответствующее положение.

Примечание: если у EDR действия есть связанные активные сущности, например правило корреляции или актив, то изменить статус действия будет нельзя.

Экспорт EDR действий

Для массового экспорта EDR действий установите нужные флаги и нажмите кнопку Экспортировать. Будет сформирован архив с EDR действиями в формате .zip.

Для экспорта всех EDR действий нажмите кнопку Экспортировать все.

Для массового экспорта EDR действий в формат CSV нажмите кнопку Экспортировать выбранные в csv.

Для экспорта всех EDR действий в формат CSV нажмите кнопку Экспортировать в csv.

Импорт EDR действий

  1. Нажмите кнопку Импортировать.
  2. В открывшемся окне укажите путь к архиву с EDR действиями.
  3. Нажмите кнопку Открыть.

Удаление EDR действий

Примечание: Для корректной работы интеграций не рекомендуется удалять EDR действия, установленные по умолчанию.

Для удаления EDR действия нажмите кнопку в соответствующей строке.

Для массового удаленияEDR действий установите нужные флаги и нажмите кнопку Удалить.

Для удаление всех EDR действий нажмите кнопку Удалить все.