Действия на агенте

В разделе Агенты доступно выполнение специальных действий на агенте.

Чтобы выполнить специальное действие:

Через список агентов:
1. Выберите из списка агенты, на которых требуется выполнить специальное действие. Для этого установите флажки слева от нужных агентов в списке. На панели инструментов отобразятся иконки команд над выбранными агентами.
2. Нажмите на кнопку на панели инструментов. Система отобразит окно Действия на агенте, в котором нужно выбрать и настроить выполняемое действие.
Через карточку агента:
1. Нажмите в списке на строку агента, на котором требуется выполнить специальное действие. Система отобразит в правой части рабочей области карточку агента с подробной информацией о нем.
2. Нажмите на кнопку в области Действия в карточке агента. Система отобразит окно Действия на агенте, в котором нужно выбрать и настроить выполняемое действие.
  
  Через карточку агента можно выполнить специальное действие только на одном агенте.

В системе доступны следующие специальные действия на агенте:

Поиск IoC () — поиск индикаторов компрометации IoC на узлах, где установлен агент.
Удаление файла () — удаление файла или директории на узле.
Самоизоляция узла () — изоляция узла от агента.
Снятие самоизоляции узла () — отмена изоляции узла от агента.
Остановка процесса () — остановка выполнения указанного процесса на агенте.
Отправка файла () — отправка файла на указанный URL.
Добавление записи в hosts (DNS Sinkholing) () — добавление веб-сайтов или IP-адресов в файл hosts для блокировки доступа к ним.
Удаление записи из hosts (DNS Sinkholing) () — удаление веб-сайтов или IP-адресов из файла hosts для их разблокировки.

Параметры в окне зависят от выбранного действия.

Поиск индикаторов компрометации (IoC)

Действие позволяет настроить параметры поиска индикаторов компрометации на узлах, где установлены выбранные в таблице агенты. Система произведет поиск хеш-сумм (алгоритмы md5, sha1 и sha256) файлов по заданным путям на выбранных агентах.

Чтобы выполнить действие:

Укажите ID инцидента в системе R-Vision SOAR в формате ХХ-ХХ-ХХ (например, 23-02-13).
Если система найдет индикаторы компрометации на узлах, эти узлы будут привязаны к указанному инциденту.
Укажите пути к файлам, по которым требуется произвести поиск.
Введите хеш-суммы, которые требуется искать.
Если требуется запретить поиск дубликатов, установите переключатель Не искать дубликаты в активное положение. В этом случае система не будет искать уже найденные хеш-суммы.
Задайте глубину поиска, указав максимальное количество проверяемых подпапок.
Задайте максимальный размер проверяемых файлов в мегабайтах.
Нажмите на кнопку Выполнить.

Удаление файла/директории

Действие позволяет удалить указанный файл или указанную директорию на узле.

Чтобы выполнить действие:

Укажите путь к файлу, который требуется удалить.
Если требуется удалить директорию, установите переключатель Удалить директорию в активное положение.
Нажмите на кнопку Выполнить.

Самоизоляция узла

Действие Самоизоляция узла ( not connected ) позволяет изолировать узел от агента. Действие Снятие самоизоляции узла () отменяет эту изоляцию.

Менеджер и имена узлов, внесенные в Белый список, изолироваться не будут.

Чтобы выполнить действие, нажмите на кнопку Выполнить.

Остановка процесса

Действие позволяет остановить процесс, выполняющийся на узле.

Чтобы выполнить действие:

Выберите способ идентификации процесса, который требуется остановить, из выпадающего списка:
- PID — укажите PID процесса.
- Путь — укажите путь до объекта процесса на узле.
- Имя — укажите имя бинарного файла процесса.
Нажмите на кнопку Выполнить.

Отправка файла

Действие позволяет отправить файл с агента на указанный URL.

Чтобы выполнить действие:

Укажите путь к файлу на агенте, который требуется отправить.
Укажите URL, на который требуется отправить файл.
Выберите метод отправки: POST или PUT.
Если проверять валидность SSL-сертификата при подключении не требуется, установите переключатель Игнорирование SSL в активное положение.
Укажите заголовок токена.

Заголовок определяется производителем, в котором надо передавать токен.
Укажите токен API для аутентификации при отправке файла.
Укажите тип отправляемого файла.

Тип файла определяется производителем системы назначения.
Нажмите на кнопку Выполнить.

Добавление записи в hosts

Действие позволяет блокировать доступ к веб-сайтам или IP-адресам путем их добавления в файл hosts на компьютере.

Чтобы выполнить действие:

Укажите IP-адрес сервера, доступ к которому требуется заблокировать.
Укажите домен, доступ к которому требуется заблокировать.
Введите комментарий к действию.
Нажмите на кнопку Выполнить.

Удаление записи из hosts

Действие позволяет разблокировать доступ к веб-сайтам или IP-адресам путем удаления из файла hosts на компьютере.

Чтобы выполнить действие:

Укажите IP-адрес сервера, доступ к которому требуется разблокировать.
Укажите домен, доступ к которому требуется разблокировать.
Нажмите на кнопку Выполнить.