Перейти к содержанию

Общие сведения

Характеристики системы

Наименование системы – RT Protect Endpoint Detection and Response (далее RT Protect EDR).

Назначение системы – обнаружение целенаправленных атак и сложных угроз.

Разработчик системы – АО «РТ-Информационная безопасность» — организация прямого управления Государственной корпорации «Ростех».

СайтРТ-Информационная безопасность.

Возможности, предоставляемые интеграцией:

  • выполнение активных действий на активах;
  • импорт активов из RT Protect EDR в Платформу Радар;
  • синхронизация инцидентов.

Настройка интеграции с системой RT Protect EDR приведена в разделе Настройка интеграции с RT Protect EDR.

Приемы работы с интеграцией приведены в разделе Работа с интеграцией RT Protect EDR.

Активные действия

Система RT Protect EDR позволяет выполнять удаленные действия на активе для предотвращения распространения потенциальных угроз.

В рамках интеграции активными действиями являются шаблоны команд для ОС Windows и Linux.

Например, для завершения процесса по его идентификатору, будут использованы следующие команды:

  • Linux:

    # kill -9 {{ .pid }}

  • Windows:

    # taskkill /PID {{ .pid }} /T /F

Перечень действий доступных в интеграции по умолчанию:

  • Завершить процесс по PID – будет завершен процесс по идентификатору процесса на активе;
  • Заблокировать порт – соответствующий порт будет заблокирован на прием/отправку сообщений;
  • Заблокировать входящий трафик с IP – будет заблокирован трафик с соответствующего IP-адреса;
  • Включить изоляцию актива – соответствующий актив будет изолирован в локальной сети;
  • Выключить изоляцию актива – изоляция актива будет снята;
  • Включить защиту – включить встроенные в систему RT Protect EDR средства защиты на выбранном активе;
  • Выключить защиту – отключить встроенные в систему RT Protect EDR средства защиты на выбранном активе.

Действие над активом может быть выполнено следующими способами:

  • автоматически, по результатам сработки правила корреляции;
  • вручную, при анализе актива, на котором выявлены инциденты.

Управление активными действия выполняется в разделе EDR действия.

Синхронизация инцидентов и активов

При синхронизации инцидентов выполняется обмен информацией об инцидентах на активах между системами со следующими особенностями:

  • для назначения инцидентов в каждой системе должен быть пользователь, имеющий права на работу с инцидентами;
  • при возникновении конфликтов при синхронизации приоритет отдается Платформе Радар;

  • при удалении инцидентов из Платформы Радар есть два варианта выбора:

    • удалить также и в RT Protect EDR;
    • отключить синхронизацию инцидента и удалить только в платформе.

  • при наличии верхнеуровневой системы, синхронизация будет выполняться по цепочке Верхнеуровневая системаПлатформа РадарRT Protect EDR;

  • для выполнения синхронизации необходимо настроить периодическую задачу синхронизации (см. раздел Настройка задачи синхронизации активов).

Параметры типа интеграции RT Protect EDR

Для просмотра параметров типа интеграции перейдите в раздел ПараметрыТипы интеграций и нажмите кнопку в строке с наименованием RT Protect EDR. Откроется форма просмотра параметров типа интеграции.

Информация на форме отображается на следующих вкладках:

  • Интеграции. На вкладке отображается список связанных интеграций (см. рисунок 1);

    Рисунок 1 – Просмотр типа интеграции RT Protect EDR. Вкладка "Интеграции"

  • Задачи интеграции. Пример вкладки приведен на рисунке 2.

    Рисунок 2 – Просмотр типа интеграции RT Protect EDR. Вкладка "Задачи интеграции"

    На вкладке отображается информация о периодических задачах, выполняемых в рамках всех связанных интеграций:

    • Задача – тип периодической задачи;
    • Название – наименование периодической задачи;
    • Cron – CRON-выражение, описывающее периодичность задачи;
    • Состояние – состояние задачи: Активно, Неактивно.

  • Команды интеграции. Пример вкладки приведен на рисунке 3.

    Рисунок 3 – Просмотр типа интеграции RT Protect EDR. Вкладка "Команды интеграции"

    На вкладке отображается информация об активных действиях, созданных в рамках интеграций:

    • Интеграция – наименование интеграции, для которой исполняется команда;
    • Скрипт – наименование команды;
    • Статус – состояние команды: Активно, Неактивно.

  • Логи выполненных действий. Пример вкладки приведен на рисунке 4.

    Рисунок 4 – Просмотр типа интеграции RT Protect EDR. Вкладка "Логи выполненных действий"

    На вкладке отображается журнал выполненных действий:

    • Актив – наименование актива, на котором выполнено действие;
    • Интеграция – наименование интеграции, в рамках которой было выполнено действие;
    • Команда – наименование выполненного действия;
    • Параметры – информация о параметрах выполненного действия.

    Для просмотра результата выполнения действия нажмите кнопку в соответствующей строке. Откроется окно "Результат" (см. рисунок 5).

    Рисунок 5 – Окно "Результат"