Общие материалы

• Knowledge Base AntiAPT Community
• Kaspersky Security Center Linux — Отказоустойчивый кластер
• Работа с kesl-control и avp.com
• TIP: PoC
• DFI: Плейбук реагирования на инцидент

Knowledge Base AntiAPT Community

Практические руководства, кейсы и советы по настройке и эксплуатации решений «Лаборатории Касперского».

Создано сообществом и пресейл-командой ЛК для ИБ-специалистов.

Материалы KB не заменяют официальную документацию и не являются гарантией работоспособности решений.  
Применяйте рекомендации только при понимании их последствий. Техподдержка может отказать в помощи при использовании неофициальных инструкций.

Основные разделы:

Дополнительные ресурсы

📦 Postman API Collection 📄 Официальная документация 📺 Серия коротких видео:       Rutube | YouTube 🎓 Программы обучения 💬 Telegram-сообщество 🤝 KB и чаты наших коллег:       KB KUMA | Telegram-сообщество KUMA       Telegram-сообщество KSMG       KB KICS

Хочешь улучшить KB?  
Делись своими кейсами, скриптами или идеями по UX!
Напиши об этом в Telegram-сообщество

💚 С любовью, команда пресейл «Лаборатории Касперского» ;)

Kaspersky Security Center Linux — Отказоустойчивый кластер

Инструкция составлена ​​на основе официальной документации и опыта эксплуатации.

Введение

Kaspersky Security Center Linux – решение (далее – «KSC») для централизованного мониторинга и управления KES и некоторыми другими защитными решениями Лаборатории Касперского.

KSC позволяет вам устанавливать приложения безопасности "Лаборатории Касперского" на устройства в корпоративной сети, удаленно запускать задачи проверки и обновления, а также управлять политиками безопасности управляемых приложений. Как администратор, вы можете использовать панель мониторинга, где показано актуальное состояние корпоративных устройств, отображаются подробные отчеты и детальные параметры политик.

Отказоустойчивый кластер KSC Linux обеспечивает высокую доступность Kaspersky Security Center Linux и минимизирует простои Сервера администрирования в случае сбоя. Отказоустойчивый кластер основан на двух идентичных экземплярах Kaspersky Security Center Linux, установленных на двух компьютерах. Один из экземпляров работает как активный узел, а другой – как пассивный. Активный узел управляет защитой клиентских устройств, в то время как пассивный готов взять на себя все функции активного узла в случае отказа активного узла. Когда происходит сбой, пассивный узел становится активным, а активный узел становится пассивным.

Схемы развертывания

Вы можете выбрать одну из следующих схем развертывания отказоустойчивого кластера Kaspersky Security Center Linux:

• Схема, которая использует дополнительный сетевой адаптер и СУБД, установленную на выделенном устройстве

Условные обозначения схемы:

на схеме развертывания. Сервер администрирования передает данные в базу данных. Откройте необходимые порты на устройстве, на котором расположена база данных, например порт 3306 для MySQL Server или порт 5432 для PostgreSQL или Postgres Pro. Подробную информацию см. в документации СУБД.

на схеме развертывания. Откройте следующие порты на устройствах с Сервером администрирования для подключения к управляемым устройствам: TCP 13000, UDP 13000 и TCP 17000.

на схеме развертывания. Устройство с системой управления базами данных (СУБД). Если вы используете MariaDB Galera Cluster в качестве СУБД, отдельное устройство для этой цели не требуется. Установите кластер MariaDB Galera на каждый из узлов.

• Схема, которая использует сторонний балансировщик нагрузки и СУБД, установленную на выделенном устройстве

Условные обозначения схемы:

на схеме развертывания. На сервере устройства балансировки нагрузки откройте все порты Сервера администрирования: TCP 13000, UDP 13000, TCP 13299 и TCP 17000.

на схеме развертывания. Откройте следующие порты на устройствах с Сервером администрирования для подключения к управляемым устройствам: TCP 13000, UDP 13000 и TCP 17000.

на схеме развертывания. Сервер администрирования передает данные в базу данных. Откройте необходимые порты на устройстве, на котором расположена база данных, например порт 3306 для MySQL Server или порт 5432 для PostgreSQL или Postgres Pro. Подробную информацию см. в документации СУБД.

на схеме развертывания. Устройство с системой управления базами данных (СУБД). Если вы используете MariaDB Galera Cluster в качестве СУБД, отдельное устройство для этой цели не требуется. Установите кластер MariaDB Galera на каждый из узлов.

Основные порты используемые KSC

Полный список используемых портов

Порт	Процесс	Протокол	Функция
8060	klcsweb	TCP	Передача на клиентские устройства опубликованных инсталляционных пакетов
8061	klcsweb	TCP (TLS)	Передача на клиентские устройства опубликованных инсталляционных пакетов
13000	klserver	TCP (TLS)	Прием подключений от Агентов администрирования и от подчиненных Серверов администрирования; используется также на подчиненных серверах для приема подключений от главного Сервера (например, если подчиненный Сервер находится в демилитаризованной зоне)
13000	klserver	UDP	Прием информации от Агентов администрирования о выключении устройств
13299	klserver	TCP (TLS)	Прием подключений от Identity and Access Manager (IAM) к Серверу администрирования; прием подключений к Серверу администрирования через OpenAPI
17000	klactprx	TCP (TLS)	Прием подключений для активации приложений от управляемых устройств
4444	kliam	HTTPS	Аутентификация с использованием протокола OpenID Connect
9050	kliam	HTTPS	Подключение к Серверу администрирования с помощью IAM

Развёртывание кластера KSC Linux

В рамках развёртывания кластера необходимо подготовить следующие устройства:

• 2 идентичных хоста на ОС Linux, на которые будет установлен KSC Linux для работы в режиме Active -Passive
• Отдельных хост с СУБД
• Хост с файловым сервером
• Хост, на который будет установлена веб-консоль KSC
• Внешний балансировщик (при выборе соответствующей схемы)

Полезные ссылки

Общий сценарий развёртывания кластера KSC Linux

Список поддерживаемых ОС и СУБД для KSC Linux

Аппаратные требования для KSC Linux и СУБД

Аппаратные и программные требования к веб-консоли KSC Linux

Требования к файловому серверу

Необходимые дистрибутивы

Предварительная настройка устройств

Для корректного функционирования кластера KSC Linux необходимо выполнить следующие шаги на активном узле, пассивном узле и файловом сервере:

• Создать группу kladmins (можно назвать иначе)

sudo groupadd kladmins
sudo groupmod -g <новый_GID> kladmins

• Создайте учетную запись ksc (можно назвать иначе). Назначьте учетные записи пользователей группе kladmins

sudo adduser ksc
sudo usermod -u <новый_UID> ksc
sudo gpasswd -a ksc kladmins
sudo usermod -g kladmins ksc

• Аналогично создайте учетную запись пользователя rightless (можно назвать иначе), но уже с отличным от ksc UID. Назначьте учетные записи пользователей группе kladmins

sudo adduser rightless
sudo usermod -u <новый_UID> rightless
sudo gpasswd -a rightless kladmins
sudo usermod -g kladmins rightless

• Аналогично создайте учетную запись пользователя ksciam (можно назвать иначе), но уже с отличным от ksc и rightless UID. Назначьте учетные записи пользователей группе kladmins

sudo adduser ksciam
sudo usermod -u <новый_UID> ksciam
sudo gpasswd -a ksciam kladmins
sudo usermod -g kladmins ksciam

GID для группы kladmins и UID для каждого из созданных пользователей (ksc, rightless и ksciam) должны быть одинаковыми для всех 3-х устройств.

• Проверить GID и UID можно командами getent group kladmins и getent passwd <ksc, rightless или ksciam> соответственно

• Сменить GID и UID можно командами sudo groupmod -g <новый_GID> kladmins и sudo usermod -u <новый_UID> <ksc, rightless или ksciam> соответственно

Пример создания группы и пользователя

Развертывание файлового сервера

Файловый сервер необходим для синхронизации данных между активным и пассивным узлами отказоустойчивого кластера KSC Linux. Требования к файловому серверу:

• Доступ к файловому серверу должен быть включен для обоих узлов в параметрах NFS-сервера.
• NFS-протокол должен иметь версию 4.0 или 4.1.
• Минимальные требования для ядра Linux:
  • 3.19.0-25, если вы используете NFS 4.0;
  • 4.4.0-176, если вы используете NFS 4.1.
• Установите необходимые утилиты одной из следующих команд в зависимости от используемого дистрибутива Linux

sudo yum install nfs-utils
sudo apt install nfs-kernel-server

Далее необходимо создать две общие папки. Для хранения информации о состоянии отказоустойчивого кластера и для хранения данных и параметров KSC Linux.

Имена папок должны быть /mnt/KlFocStateShare и /mnt/KlFocDataShare\_klfoc. Поэтому проверьте, что на устройстве отсутствуют данные директории.

• Для создания и настройки папок выполните команды:

sudo mkdir -p /mnt/KlFocStateShare
sudo mkdir -p /mnt/KlFocDataShare\_klfoc
sudo chown ksc:kladmins /mnt/KlFocStateShare
sudo chown ksc:kladmins /mnt/KlFocDataShare\_klfoc
sudo chmod -R 770 /mnt/KlFocStateShare /mnt/KlFocDataShare\_klfoc
sudo sh -c "echo /mnt/KlFocStateShare \*(rw,sync,no\_subtree\_check,no\_root\_squash) >> /etc/exports" #одной строкой
sudo sh -c "echo /mnt/KlFocDataShare\_klfoc \*(rw,sync,no\_subtree\_check,no\_root\_squash) >> /etc/exports" #одной строкой
sudo exportfs -a
sudo systemctl start rpcbind
sudo systemctl start nfs-server 

Для автозапуска выполните команду

sudo systemctl enable rpcbind

Перезапустите файловый сервер. После чего он будет подготовлен

Подготовка СУБД

Для работы отказоустойчивого кластера KSC Linux необходимо использовать СУБД на выделенном хосте. В данном руководстве рассмотрен пример с использованием СУБД Postgres. Полный список поддерживаемых СУБД.

Необходимо настроить конфигурацию СУБД. Для этого перейдите в /etc/postgresql/<VERSION>/main/postgresql.conf и примените следующие параметры:

max_connections = 151
shared_buffers = #25% от объема оперативной памяти устройства, на котором установлена СУБД, если оперативной памяти меньше 1 ГБ, то необходимо оставить значение по умолчанию.
huge_pages = try
temp_buffers = 24MB
max_prepared_transactions = 0
work_mem = 16MB
maintenance_work_mem = 128 MB
max_stack_depth = 2MB #максимальный размер стека (например, можно получить это значение, выполнив команду 'ulimit -s’, показывает размер стека в КБ) минус 1 МБ
temp_file_limit = -1
fsync = on
max_parallel_workers_per_gather = 0

Для работы KSC Linux версии 16.0 и выше на сервере СУБД необходимо наличие 2-х БД. kav – обеспечивает работу всех основных функций KSC Linux, iam – обеспечивает работу службы Identity and Access Manager.

Для KSC Linux 15.4 и ниже БД iam не нужна.

Для работы с этими БД рекомендуется создать отдельных пользователей СУБД. Например можно использовать интерактивный терминальный клиент psql для выполнения SQL-запросов.

Выполните следующие команды через клиент psql:

CREATE USER "kscdbadmin" WITH PASSWORD '<пароль>'; – для создания пользователя СУБД для БД kav

или

CREATE USER "kscdbadmin";
\password kscdbadmin  #чтобы не вводить пароль в открытом виде
CREATE DATABASE "kav" ENCODING 'UTF8' OWNER "kscdbadmin"; #cоздание БД kav

Также выполните команды по выдаче прав для пользователя БД kav

GRANT ALL PRIVILEGES ON DATABASE "kav" TO "kscdbadmin";
GRANT USAGE ON SCHEMA public TO "kscdbadmin";
GRANT CREATE ON SCHEMA public TO "kscdbadmin";
GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA "public" TO "kscdbadmin";
GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA "public" TO "kscdbadmin";

Затем необходимо повторить аналогичные действия для создания 2-й БД iam

CREATE USER "iamdbadmin" WITH PASSWORD '<пароль>';
CREATE DATABASE "iam" ENCODING 'UTF8' OWNER "iamdbadmin";
GRANT ALL PRIVILEGES ON DATABASE "iam" TO "iamdbadmin";
GRANT USAGE ON SCHEMA public TO "iamdbadmin";
GRANT CREATE ON SCHEMA public TO "iamdbadmin";
GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA "public" TO "iamdbadmin";
GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA "public" TO "iamdbadmin";

Важно! При удалении KSC Linux БД iam не удаляется автоматически. Поэтому при удалении или переустановке KSC Linux необходимо удалить / пересоздать БД iam

Затем необходимо разрешить подключение к СУБД с внешних устройств. Перейдите к редактированию файла /etc/postgresql//<VERSION>/main/pg_hba.conf. Укажите возможность подключения к созданным базам данных kav и iam, а также к предустановленной БД postgres как на примере

Затем в файле /etc/postgresql/<VERSION>/main/postgresql.conf укажите возможность прослушивания внешних адресов

Перезапустите службу СУБД

Конфигурация общих папок

Для настройки связи узлов отказоустойчивого кластера KSC Linux с файловым сервером необходимо подключить к ним папки, созданные ранее. В зависимости от вашего дистрибутива Linux установите либо пакет nfs-utils, либо пакет nfs-kernel-server на каждом узле кластера, выполнив соответствующую команду:

yum install nfs-utils
apt install nfs-kernel-server

Создайте папки, которые будут точками монтирования:

mkdir -p /mnt/KlFocStateShare
mkdir -p /mnt/KlFocDataShare_klfoc

Сопоставьте точки монтирования и общие папки, указав их в /etc/fstab:

sudo sh -c "echo <адрес файлового сервера>:/mnt/KlFocStateShare /mnt/KlFocStateShare nfs vers=4,soft,timeo=50,retrans=2,auto,user,rw 0 0 >> /etc/fstab"
sudo sh -c "echo <адрес файлового сервера>:/mnt/KlFocDataShare_klfoc /mnt/KlFocDataShare_klfoc nfs vers=4,noauto,user,rw,exec 0 0 >> /etc/fstab"

Подключите общие папки, выполнив следующие команды:

mount /mnt/KlFocStateShare
mount /mnt/KlFocDataShare_klfoc

После этого разрешения на доступ к общим папкам принадлежат ksc:kladmins

Конфигурация сетевого адаптера / балансировщика

В зависимости от выбранной схемы развёртывания необходимо настроить сетевую инфраструктуру для возможности переключения между узлами кластера.

В любом из случаев вам пригодятся команды nmcli device status для вывода списка сетевых интерфейсов под управлением NetworkManager, nmcli con show для вывода списка сетевых подключений и ip a для идентификации сетевых интерфейсов.

На обоих узлах отказоустойчивого кластера необходимо:

• Если выбрана схема с виртуальными сетевым адаптером

Установить пакет iputils-arping. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:

yum install iputils
apt install iputils-arping

Для создания виртуального сетевого интерфейса выполнить команду (одной строкой):

nmcli connection add type macvlan dev <физический интерфейс> mode bridge ifname <виртуальный интерфейс> ipv4.addresses <адрес с маской> ipv4.method manual autoconnect no

Имя виртуального интерфейса задаётся произвольно, но должно быть одинаково на обоих узлах кластера

• Если выбрана схема с физическим сетевым адаптером

Установить пакет iputils-arping. В зависимости от вашего дистрибутива Linux выполните одну из следующих команд:

yum install iputils
apt install iputils-arping

На обоих узлах кластера на дополнительном сетевом адаптере укажите одинаковый ip-адрес любым удобным способом (через графический интерфейс, терминал) и переведите этот сетевой интерфейс в состояние DOWN командой

ip link set <интерфейс> down

• Если выбрана схема с внешним балансировщиком
• Подготовьте выделенное Linux-устройство с установленным nginx или другим балансировщиком нагрузки;
• Настройте балансировку нагрузки. Установите активный узел в качестве основного сервера и пассивный узел в качестве резервного сервера;
• На сервере балансировщика откройте все

Важно! Доступность узлов отказоустойчивого кластера должна определяться доступностью основных портов подключения к Серверу администрирования (13000 TCP, 13299 TCP). Пассивный узел не принимает никаких внешних подключений, пока не произойдет переключение.

Установка KSC Linux

Дистрибутивы KSC 

Установка KSC на активный узел кластера

Для начала установки KSC Linux скачайте необходимый дистрибутив KSC в зависимости от вашего дистрибутива Linux и выполните одну из команд:

sudo apt-get install /<path>/ksc64_<номер_версии>_amd64.deb
sudo yum install /<path>/ksc64-<номер_версии>.x86_64.rpm

Совет! Для удобства перед запуском скрипта postinstall.pl можно создать файл ответов answers.txt, в котором указать все необходимые значения для настройки активного узла кластера KSC Linux. Это поможет избежать ошибок установки из-за неточного ввода параметров после запуска скрипта postinstall.pl.

Для применения файла ответов выполните команду export KLAUTOANSWERS=/полный/путь/до/answers.txt (Важно! Обязательно указать именно полный путь)

Затем запустите скрипт настройки /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

• Примите условия Лицензионного соглашения – введите Y
• Примите условия Политики конфиденциальности – введите Y
• Выберите значение Основной узел кластера – введите 2
• Укажите локальный путь к точке монтирования общей папки состояния – введите /mnt/KlFocStateShare
• Укажите локальный путь к точке монтирования общей папки данных – введите /mnt/KlFocDataShare_klfoc
• Выберите режим подключения отказоустойчивого кластера: через дополнительный сетевой адаптер или внешний балансировщик нагрузки
• Если вы используете дополнительный сетевой адаптер, введите его имя (имя отображено в столбце NAME в выводе команды nmcli con show)
• Введите FQDN или IP-адрес дополнительного сетевого адаптера либо FQDN или IP-адрес внешнего балансировщика нагрузки
• Введите номер SSL-порта Сервера администрирования. По умолчанию номер порта – 13000
• Оцените примерное количество устройств, которыми вы планируете управлять:
  • Если число управляемых устройств составляет от 1 до 100, введите 1
  • Если число управляемых устройств составляет от 101 до 1000, введите 2
  • Если число управляемых устройств составляет более 1000, введите 3
  • Этот параметр используется для автоматического определения случайной задержки запуска задач в целях оптимизации нагрузки на сеть
• Введите имя группы безопасности для служб. В данном примере kladmins
• Введите имя учетной записи для запуска службы Сервера администрирования. В данном примере ksc
• Введите имя учетной записи, чтобы запустить другие службы. В данном примере ksc
• Выберите СУБД для работы с KSC. MySQL или MariaDB – 1, PostgreSQL или Postgres Pro SQL – 2
• Введите DNS-имя или IP-адрес устройства c СУБД
• Введите номер порта базы данных. По умолчанию 3306 для MySQL или MariaDB и 5432 для PostgreSQL или Postgres Pro
• Введите имя базы данных. В данном примере kav
• Введите имя учетной записи администратора базы данных. В данном примере kscdbadmin
• Введите пароль учетной записи администратора базы данных
• Введите FQDN сервера IAM (адрес самого KSC)
• Введите имя учетной записи для запуска службы IAM. В данном примере ksciam
• Выберите СУБД для работы с IAM. MySQL или MariaDB – 1, PostgreSQL или Postgres Pro SQL – 2
• Введите DNS-имя или IP-адрес устройства c СУБД
• Введите номер порта базы данных. По умолчанию 3306 для MySQL или MariaDB и 5432 для PostgreSQL или Postgres Pro
• Введите имя базы данных. В данном примере iam
• Введите имя учетной записи администратора базы данных. В данном примере iamdbadmin
• Введите пароль учетной записи администратора базы данных
• Подождите, пока службы добавятся и запустятся автоматически:
  • klfocsvc_klfoc
  • kladminserver_klfoc
  • klwebsrv_klfoc
  • klactprx_klfoc
  • klnagent_klfoc
  • kliam_klfoc

 Для добавления нового пользователя с ролью главный администратора воспользуйтесь командой:

sudo /opt/kaspersky/ksc64/sbin/kladduser -n <имя пользователя>

Установка KSC на пассивный узел кластера

Аналогично в зависимости от вашего дистрибутива Linux и выполните одну из команд:

sudo apt-get install /<path>/ksc64_<номер_версии>_amd64.deb
sudo yum install /<path>/ksc64-<номер_версии>.x86_64.rpm

Затем запустите скрипт настройки /opt/kaspersky/ksc64/lib/bin/setup/postinstall.pl

• Примите условия Лицензионного соглашения – введите Y
• Примите условия Политики конфиденциальности – введите Y
• Выберите значение Вторичный узел кластера – введите 3
• Укажите локальный путь к точке монтирования общей папки состояния – введите /mnt/KlFocStateShare Проверьте, что служба klfocsvc_klfoc активна на обоих узлах

systemctl status klfocsvc_klfoc

klfocsvc_klfoc на активном узле

klfocsvc_klfoc на пассивном узле

Установка Веб консоли KSC Linux

Дистрибутив можно скачать с официального сайта

Веб консоль также будет необходимо установить на отдельный хост. Предварительно обязательно необходимо подготовить файл ответов /etc/ksc-web-console-setup.json. Подробные примеры заполнения представлены в

Для установки выполните одну из команд в зависимости от вашего дистрибутива Linux

sudo apt-get install ksc-web-console-<номер сборки>.x86_64.deb
sudo yum install ksc-web-console-<номер сборки>.x86_64.rpm

После завершения установки перезапустите все службы веб консоли KSC Linux

sudo systemctl restart KSC*

По результатам выполненных действий веб-консоль будет доступна по адресу и порту указанному в файле ответов.

Первоначальная настройка KSC Linux

Перейдите в браузере по адресу веб-консоли и войдите под ранее созданной УЗ. При первом входе будет необходимо принять пользовательское соглашение. После этого автоматически запустится Мастер первоначальной настройки.

Мастер выполнит первоначальную настройку для корректной работы KSC:

• Параметры подключения к интернету. Для сбора обновлений и дистрибутивов Серверу администрирования требуется выход в интернет, в зависимости от характеристик сети требуется выбрать подходящий вариант.
• Если доступ в интернет есть, после загрузки обновлений Мастер предложит загрузить доступные дистрибутивы.
• Из предложенного списка выберете типы устройств, участвующих в пилотном тестировании (в будущем можно будет загрузить недостающие дистрибутивы).
• В соответствии с законодательной базой необходимо выбрать доступный алгоритм шифрования (см. Постановление правительства от 16 апреля 2012 г. № 313).
• Также выбрать из перечня плагины для управляемых программ, которые необходимо использовать.
• После чего мастер автоматически загрузит недостающие плагины с серверов Лаборатории Касперского
• Укажите параметры работы выбранных приложений и примите лицензионные соглашения KSN для них
• Выберите удобный вариант активации продукта, либо выберите «Добавить лицензионный ключ позже». Особенности – для активации кодом требуется выход в интернет, зато он включает в себя сразу все программные продукты, но в изолированных сегментах возможно только использование ключа.
• Мастер самостоятельно создаст критически важные задачи для корректной работы KSC Linux.
• В случае, если требуется получать нотификации на почту, необходимо указать параметры SMTP сервера. В противном случае можно указать параметр «Не использовать TLS» из выпадающего списка и пропустить этот шаг.
• На этом завершается работа мастера первоначальной настройки, перенастроить параметры можно заново запустив мастер или точечно, в интересующем разделе. На этом этапе отказоустойчивый кластер настроен для работы и подключения устройств

Работа с kesl-control и avp.com

KESL-CONTROL – KES Linux

Для возможности локального управления KESL в него встроена утилита kesl-control. Она позволяет просматривать различные параметры состояния, создавать и запускать задачи. Для ознакомления с полным списком возможностей утилиты выполните в терминале команду kesl-control

Для просмотра общей информации о kesl выполните команду :

kesl-control --app-info

kesl-control --get-app-settings — вывод списка параметров приложения вывод списка параметров приложения

Далее приведены команды, которые могут быть вам полезны в использовании kesl

Важно! Ко всем командам kesl-control можно добавить флаг --json. Он позволяет делать вывод команды или запись в файл в json-формате

Работа с лицензиями

kesl-control -L --query – получить информацию об используемой лицензии

kesl-control --add-active-key <код активации или путь до файла ключа> - добавить активную лицензию.

kesl-control --add-reserve-key <код активации или путь до файла ключа> - добавить резервную лицензию.

kesl-control --remove-active-key - удалить активный ключ лицензии.

kesl-control --remove-reserve-key - удалить резервный ключ лицензии.

kesl-control --load-mdr-blob /tmp/mdr_blob.p7 - загрузить файл MDR BLOB для активации интеграции с Managed Detection and Responce

Работа с задачами

kesl-control --get-task-list - вывести список всех доступных задач. Здесь вы сможете узнать имя и номер задачи для их дальнейшего использования

kesl-control --get-settings <Имя задачи или её номер> - получить параметры задачи.

kesl-control --get-task-state <Имя задачи или её номер> - получить состояние задачи

kesl-control --start-task <Имя задачи или её номер> - запустить указанную задачу

kesl-control --stop-task <Имя задачи или её номер> - остановить указанную задачу

kesl-control --suspend-task <Имя задачи или её номер>- приостановить задачу.

kesl-control --resume-task <Имя задачи или её номер> - возобновить выполнение задачи.

kesl-control --get-schedule <Имя задачи или её номер> - получить расписание задачи

kesl-control --get-schedule <Имя задачи или её номер> --file /tmp/schedule.txt - сохранить расписание задачи в файл.

kesl-control --set-schedule <Имя задачи или её номер> --file /tmp/schedule.txt - применить расписание задачи из файла.

Сканирование

kesl-control --scan-file <путь к папке или файлу> -- action DisinfectDeleteIfNotPossible - проверить указанный файл или каталог на угрозы при обнаружении попытаться вылечить файл и удалить, если это невозможно

Для флага –action можно использовать DisinfectInformIfNotPossible (лечить или информировать, если лечение невозможно), Inform (информировать)

kesl-control --scan-container <идентификатор/имя[:тег]> - проверить образ контейнера

kesl-control --scan-ioc --path <путь к ioc-файлам> --excludes /var/log /tmp - выполнить поиск IOC с исключением указанных путей из области поиска.

kesl-control --scan-ioc --path path <путь к ioc-файлам> --scope /home - ограничить область поиска по IOC.

Получение статистики

kesl-control --get-statistic --files - показать статистику по наиболее проверяемым файлам

kesl-control --get-statistic –processes - показать статистику проверки по наиболее чатозапускаемым процессам

kesl-control --get-statistic –mountpoints - показать список точек монтирования

kesl-control --export-settings --file /tmp/kesl-settings.txt - экспортировать все параметры приложения в файл.

Работа с карантином и резервным храниищем

kesl-control --put /tmp/suspicious.file – вручную поместить указанный файл в карантин

kesl-control -Q --query -n 30 - получить информацию о файлах в карантине, показать последние 30 элементов.

kesl-control -Q --mass-remove --query - удалить файлы из карантина .

kesl-control -B --query -n 30 - получить информацию о файлах в резервном хранилище, показать последние 30 элементов.

kesl-control -B --restore <идентификатор_объекта> --file /tmp/restored.file - восстановить файл из резервного хранилища в указанный путь.

kesl-control -B --mass-remove --query - удалить файлы из резервного хранилища по заданному фильтру.

События работы KESL

kesl-control -E --query -n 100 --reverse - получить последние 100 событий работы приложения по показать их в обратном порядке (с конца)

kesl-control -W - включить «живой» вывод событий приложения в консоль

Контроль устройств

kesl-control --get-device-list - получить список подключённых устройств.

kesl-control --get-device-list --export <имя файла> - экспортировать список устройств в файл.

kesl-control --trusted-devices --list - показать список доверенных устройств.

kesl-control --trusted-devices --add <идентификатор> - добавить устройство в доверенные.

kesl-control --trusted-devices --delete <идентификатор> - удалить устройство из доверенных.

kesl-control --request-temporary-device-access --device-id <идентификатор> --access-duration <длительность в часах> --path <путь к файлу для сохранения запроса о временном доступе> - создать запрос временного доступа.

kesl-control --upload-temporary-device-access-key --path /tmp/access.key - загрузить ключ временного доступа.

Работа с Firewall

kesl-control -F --query - получить состояние задачи управления сетевым экраном

kesl-control --add-rule --name AllowSSH --action allow --protocol tcp --direction in --local any:22 --remote any – добавление правила разрешить входящие SSH-подключения

kesl-control --add-rule --name BlockHTTP --action block --protocol tcp --direction out --remote any:80 - заблокировать исходящий HTTP трафик

kesl-control --add-rule --name AllowDNS --action allow --protocol udp --direction out --remote any:53 - разрешить исходящие DNS запросы

kesl-control --move-rule --name AllowSSH --at 1 - изменить приоритет правила, переместив его на позицию 1.

kesl-control --del-rule --name AllowSSH - удалить правило по имени

kesl-control --del-rule --index 3 - удалить правило по индексу.

kesl-control --add-zone Trusted --address 192.168.1.0/24 - добавить сеть в доверенную зону.

Флаг --add-zone поддерживает 3 значения: Trusted, Local или Public

kesl-control --del-zone Trusted --address 192.168.1.0/24 - удалить сеть из доверенной зоны

kesl-control --get-blocked-hosts - получить список заблокированных устройств (компонентом сетевой защиты)

kesl-control --allow-hosts <идентификатор> - разблокировать устройство.

Работа с исключениями

kesl-control --set-settings < идентификатор/имя задачи > -- add-exclusion /opt/app - добавить путь в исключения задачи проверки

kesl-control --set-settings < идентификатор/имя задачи > -- del-exclusion /opt/app - удалить путь из исключений задачи проверки

kesl-control -N --query auto - показать автоматически созданные исключения из проверки зашифрованных соединений.

kesl-control -N --query kl - показать исключения из проверки зашифрованных соединений, заданные «Лабораторией Касперского».

kesl-control -N --query user - показать пользовательские исключения из проверки зашифрованных соединений.

kesl-control --clear-web-auto-excluded - очистить список SSL-исключений, автоматически исключённых из проверки

kesl-control --list-bypass-endpoints - показать список настроенных исключений из перехвата трафика.

kesl-control --add-bypass-endpoints --direction out --remote-ip 10.10.10.5 --dst-port 443 - добавить исключение из перехвата для исходящего трафика к указанному IP и порту.

kesl-control --add-bypass-endpoints --direction in --remote-ip 192.168.1.100 --dst-port 8443 - добавить исключение из перехвата для входящего трафика от указанного IP и порта.

kesl-control --remove-bypass-endpoints --direction out --remote-ip 10.10.10.5 --dst-port 443 - удалить исключение из перехвата трафика.

kesl-control --list-certificates - просмотреть список доверенных корневых сертификатов

kesl-control --add-certificate <путь к сертификату pem или der> - добавить сертификатв список доверенных корневых сертификатов

kesl-control --remove-certificate <субъект сертификата> - удалить сертификат из списка доверенных корневых сертификатов

kesl-control --list-bypass-endpoints - получить список исключений из перехвата трафика

kesl-control --add-bypass-endpoints --direction out --remote-ip 10.10.10.5 --dst-port 443 - добавить исключение для исходящего HTTPS трафика к IP.

kesl-control --add-bypass-endpoints --direction in --remote-ip 192.168.1.100 --dst-port 8443 - добавить исключение для входящего трафика.

kesl-control --remove-bypass-endpoints --direction out --remote-ip 10.10.10.5 --dst-port 443 - - удалить исключение из перехвата трафика

kesl-control --set-settings < идентификатор/имя задачи > -- add-path /opt/ - добавить путь в область задачи проверки

kesl-control --set-settings < идентификатор/имя задачи > -- del-path /opt/ - удалить путь из области задачи проверки

kesl-control --set-settings < идентификатор/имя задачи > - применить значения по умолчанию для параметров задачи

Интеграция с KATA и KEDR

kesl-control --add-kataedr-server-certificate <путь до сертификата> - добавить сертификат сервера KATA/OSMP.

kesl-control --remove-kataedr-server-certificate - удалить сертификат сервера KATA/OSMP.

kesl-control --query-kataedr-server-certificate - показать сертификат сервера KATA/OSMP.

Для выбора интеграции с EDR Expert (OSMP) необходимо дополнительно использовать флаг --server-type <response|telemetry>. Т.к. сертификаты для сбора событий и реагирования используются разные сертификаты. Таким образом команды будут составляться по следующей логике:

kesl-control --add-kataedr-server-certificate <путь до сертификата> --server-type telemetry - добавить сертификат сервера телеметрии

kesl-control --add-kataedr-server-certificate <путь до сертификата> --server-type response - добавить сертификат сервера реагирования

kesl-control --add-kataedr-client-certificate <путь до сертификата> - добавить клиентский сертификат KATA/OSMP.

kesl-control --remove-kataedr-client-certificate - удалить клиентский сертификат KATA/OSMP.

kesl-control --query-kataedr-client-certificate - показать клиентский сертификат KATA/OSMP.

Для выбора интеграции с EDR Expert (OSMP) необходимо также дополнительно использовать флаг --server-type <response|telemetry> как указано в предыдущем блоке команд.

Интеграция с NDR

kesl-control --add-katandr-server-certificate <путь до сертификата> - добавить сертификат сервера NDR.

kesl-control --remove-katandr-server-certificate - удалить сертификат сервера NDR.

kesl-control --query-katandr-server-certificate - показать сертификат сервера NDR.

kesl-control --add-katandr-client-certificate <путь до сертификата>- добавить сертификат клиента NDR.

kesl-control --remove-katandr-client-certificate - удалить сертификат клиента NDR.

kesl-control --query-katandr-client-certificate - показать сертификат клиента NDR.

Интеграция с Sandbox

kesl-control --add-sandbox-server-certificate <путь до сертификата> - добавить сертификат сервера Sandbox.

kesl-control --remove-sandbox-server-certificate - удалить сертификат сервера Sandbox.

kesl-control --query-sandbox-server-certificate - показать сертификат сервера Sandbox.

kesl-control --add-sandbox-client-certificate <путь до сертификата> - добавить клиентский сертификат Sandbox.

kesl-control --remove-sandbox-client-certificate - удалить клиентский сертификат Sandbox.

kesl-control --query-sandbox-client-certificate - показать клиентский сертификат Sandbox.

kesl-control --sandbox <путь до файла или директории> - отправить файл/директорию на проверку в Sandbox.

Интеграция KUMA

kesl-control --add-kuma-server-certificate <путь до сертификата> - добавить сертификат сервера KUMA.

kesl-control --remove-kuma-server-certificate - удалить сертификат сервера KUMA.

kesl-control --query-kuma-server-certificate - показать сертификат сервера KUMA.

kesl-control --add-kuma-client-certificate <путь до сертификата> - добавить клиентский сертификат KUMA.

kesl-control --remove-kuma-client-certificate - удалить клиентский сертификат KUMA.

kesl-control --query-kuma-client-certificate - показать клиентский сертификат KUMA.

Интеграция MDR

kesl-control --load-mdr-blob <путь до blob-файла> - загрузить файл MDR BLOB.

kesl-control --remove-mdr-blob - удалить файл MDR BLOB.

При использовании KESL в режиме Лёгкого агента

kesl-control --svm-info - информация о подключении к SVM.

kesl-control --viis-info - информация о подключении к Серверу интеграции.

kesl-control --ksvla-info – общая информация о состоянии Лёгкого агента

AVP.COM – KES Windows

Для возможности локального управления KES Windows через командную строку можно использовать утилиту avp.com. Утилита доступна по пути C:\Program Files (x86)\Kaspersky Lab\KES.<версия>. Она позволяет просматривать различные параметры состояния, создавать и запускать задачи. Для ознакомления с полным списком возможностей утилиты выполните в командной строке по указанному ранее пути команду:

avp.com –help 

ADDKEY, LICENSE, MDRLICENSE — работа с лицензиями

avp.com ADDKEY <путь к license.key> - добавить ключ лицензии (код не поддерживается)

avp.com LICENSE /CHECK - вывести информацию о всех лицензиях

avp.com LICENSE /CHECK <Идентификатор лицензии | Серийный номер ключа> - вывести информацию о конкретной лицензии.

avp.com MDRLICENSE /ADD <путь к mdr_blob.p7> - добавить blob-файл для активации MDR.

avp.com MDRLICENSE /DEL - удалить MDR blob-файл.

STATUS, STATISTICS, START, STOP — запуск задач и компонентов

avp.com STATUS – вывести полный список и показать статус всех задач и компонентов.

avp.com STATUS <имя задачи или компонента> - статус конкретной задачи/компонента.

avp.com STATISTICS <имя задачи или компонента> - просмотр статистики работы конкретной задачи/компонента.

avp.com START <имя задачи или компонента> - запуск конкретной задачи/компонента. /S – в асинхронном режиме

avp.com START <имя задачи или компонента> /R:<путь к файлу> - записать критические события.

avp.com START <имя задачи или компонента>/RA:<путь к файлу> - записать все события.

avp.com STOP <имя задачи или компонента> - остановка конкретной задачи/компонента

SCAN — сканирование

avp.com SCAN C:\ - проверить указанный каталог.

avp.com SCAN C:\ - проверить указанный каталог.

avp.com SCAN /ALL - проверить весь компьютер.

avp.com SCAN /MEMORY - проверить оперативную память.

avp.com SCAN /STARTUP - проверить объекты автозагрузки.

avp.com SCAN /REMDRIVES - проверить съемные носители.

avp.com SCAN /FIXDRIVES - проверить локальные диски.

avp.com SCAN /NETDRIVES - проверить сетевые диски.

avp.com SCAN C:\ /i0 - только отчёт без лечения.

avp.com SCAN C:\ /i3 - лечить, при невозможности удалить (по умолчанию).

avp.com SCAN C:\ /i4 - удалить заражённые файлы.

avp.com SCAN C:\ -e:a - исключить архивы из проверки.

avp.com SCAN C:\ -e:b - исключить почтовые базы.

avp.com SCAN C:\ -e:*.iso - исключить файлы по маске.

avp.com SCAN C:\ /R:scan.log - записать критические события в отчёт.

avp.com SCAN C:\ /RA:scan.log - записать все события.

avp.com SCAN C:\ /S - запустить асинхронно.

IOCSCAN — поиск индикаторов компрометации

avp.com HELP IOCSCAN - полный перечень возможных функций сканирования по IOC

avp.com IOCSCAN <путь к IOC> - выполнить IOC-сканирование по файлу.

avp.com IOCSCAN /PATH=<путь к папке с IOC-файлами> - выполнить сканирование по набору IOC из папки

avp.com IOCSCAN <путь к IOC> /FILES=on /DRIVES=ALL - проверка файлов на всех дисках

avp.com IOCSCAN <путь к IOC> /EXCLUDES=c:\temp;c:\backup - исключить пути.

avp.com IOCSCAN <путь к IOC> /SCOPE=c:\windows;c:\users - ограничить область поиска.

YARA — сканирование по правилам YARA

avp.com YARA <путь к правилу> - выполнить сканирование по одному правилу.

avp.com YARA <путь к правилу> <путь к правилу> - использовать несколько правил.

avp.com YARA /PATH=<путь к каталогу с правилами> - использовать каталог с правилами

avp.com YARA <путь к правилу> /SCANFOLDERS=<путь к папке> /RECURSIVE=on - сканировать указанную папку рекурсивно.

avp.com YARA <путь к правилу> /SCANMEMORY=on - сканировать память процессов.

avp.com YARA <путь к правилу> /FASTSCAN=on - включить сканирование в быстром режиме

avp.com YARA <путь к правилу> /SCANFOLDERS=<путь к папке> /EXCLUDES=<путь к папке> - исключить каталог

avp.com YARA <путь к правилу> /LOGFOLDER=<путь к файлу> - сохранить результат сканирования в отчёт.

UPDATE — обновление баз

avp.com UPDATE - обновить базы.

avp.com UPDATE /local - выполнить локальную задачу обновления.

avp.com UPDATE " URL или путь к папке" - обновить с указанного источника.

avp.com UPDATE /R:<путь к файлу> - записать критические события.

avp.com UPDATE /RA:<путь к файлу> - записать все события.

avp.com UPDATE /S – запустить задачу обновления асинхронно.

ROLLBACK — откат обновления баз

avp.com ROLLBACK - откатить базы к предыдущей версии.

avp.com ROLLBACK /R:<путь к файлу> - записать критические события.

avp.com ROLLBACK /RA:<путь к файлу> - записать все события.

avp.com ROLLBACK /S - запустить асинхронно.

TRACES — работа с трассировками

avp.com TRACES on - включить трассировку.

avp.com TRACES off - отключить трассировку.

avp.com TRACES on 500 - включить трассировку уровень 500 (по умолчанию).

Доступны уровни 100, 200, 300, 400, 500, 600.

avp.com TRACES on 500 file - писать трассировку в один файл.

avp.com TRACES on 500 rot /rotcount=5 /rotsize=50 - запись трассировки в ограниченное количество файлов rotcount ограниченного размера rotsize (Мб) с последующей перезаписью.

avp.com TRACES compress /<on|off> - включить/выключить сжатие трассировок.

RESTORE — восстановление из файлов из карантина и резервного хранилища

avp.com RESTORE /QUARANTINE eicar.com - восстановить файл из карантина.

avp.com RESTORE /BACKUP eicar.com - восстановить файл из резервного хранилища.

avp.com RESTORE /REPLACE C:\eicar.com – восстановить из карантина с заменой существующего файла.

EXPORT, IMPORT — экспорт и импорт настроек

avp.com STATUS – вывести список всех задач и компонентов

avp.com EXPORT <имя задачи или компонента> <путь к файлу .txt или .dat> - экспорт настроек задачи или компонента в файл

avp.com IMPORT <путь к файлу .dat> - импорт настроек задачи или компонента из файла (поддерживаются только бинарные .dat файлы)

EDRKATA — интеграция с Kaspersky Anti Targeted Attack

avp.com EDRKATA /SHOW - показать настройки подключения KATA

avp.com EDRKATA /SET /servers=<адрес:порт> /server-certificate=<сертификат сервера> /client-certificate=<клиентский сертификат> /client-certificate-password=<пароль клиентского сертификата> /timeout=<таймаут подключения в секундах> /sync-period=<период синхронизации в минутах> - настроить подключение к серверу KATA.

avp.com HELP EDRKATA - получить полный список параметров подключения к KATA

EDREXPERTONPREM — интеграция с EDR Expert On-Premise

avp.com EDREXPERTONPREM /SHOW - показать настройки EDR Expert

avp.com EDREXPERTONPREM /SET /mode=EDRKATA /servers=<адрес:порт>/server-certificate=<сертификат сервера> - режим интеграции с EDR KATA

avp.com EDREXPERTONPREM /SET /mode=EDRExpertOnPrem /servers==<адрес:порт> /server-certificate==<сертификат сервера> - режим интеграции с EDR (OSMP)

avp.com EDREXPERTONPREM /SET /mode=< EDRKATA | EDRExpertOnPrem> /servers==<адрес:порт> /server-certificate==<сертификат сервера> /client-certificate=<клиентский сертификат> /client-certificate-password=<пароль клиентского сертификата> /timeout=<таймаут подключения в секундах> /sync-period=<период синхронизации в минутах> - режим интеграции c дополнительными параметрами

avp.com HELP EDREXPERTONPREM - получить полный список параметров подключения к EDR On-Premise

NDR — интеграция с Network Detection and Response

avp.com NDR /SHOW - показать настройки NDR

avp.com NDR /SET /servers=<адрес:порт> /server-certificate=<сертификат сервера> /client-certificate=<клиентский сертификат> /client-certificate-password=<пароль клиентского сертификата> /timeout=<таймаут подключения в секундах> /sync-period=<период синхронизации в минутах> - настроить подключение к серверу KUMA.

avp.com HELP NDR - получить полный список параметров подключения к KUMA

SANDBOX — интеграция c Sandbox

avp.com SANDBOX /SHOW - показать настройки Sandbox.

avp.com SANDBOX /SET --servers=<адрес:порт Sandbox> --pinned-certificate=<путь к сертификату сервера> --client-certificate=< путь к клиентскому сертификату> --client-certificate-password=<пароль клиентского сертификата> --timeout=<таймаут в мс, по умолчанию 5000> --mode= <KSB| KATAManual | KATAAuto | KATAFull> – установить параметры Sandbox.

KSB – автоматическая отправка в песочницу KSB KATAManual – ручная отправка в песочницу KATA KATAAuto – автоматическая отправка в песочницу KATA KATAFull – Как ручная, так и автоматическая отправка данных в песочницу KATA

KUMA — интеграция с Kaspersky Unified Monitoring and Analysis

avp.com KUMA /SHOW - показать настройки подключения KUMA

avp.com KUMA /SET /servers=<протокол://адрес:порт> /server-certificate=<сертификат сервера> /client-certificate=<клиентский сертификат> /client-certificate-password=<пароль клиентского сертификата> /timeout=<таймаут подключения в секундах> - настроить подключение к серверу KUMA.

avp.com HELP KUMA - получить полный список параметров подключения к KUMA

TELEMETRYFILTERS — настройка фильтрации телеметрии

avp.com TELEMETRYFILTERS /EXPORT <путь к файлу> - экспорт фильтрации телеметрии в файл

avp.com TELEMETRYFILTERS /IMPORT <путь к файлу> - импорт фильтрации телеметрии из файла.

KSN — управление Kaspersky Security Network

avp.com KSN /GLOBAL - включить стандартный KSN.

avp.com KSN /PRIVATE <путь к файлу .pkcs7> - включить KPSN с файлом настроек.

ISOLATION — сетевая изоляция хоста

avp.com ISOLATION /STAT - показать статус сетевой изоляции.

avp.com ISOLATION /OFF - отключить изоляцию.

PREVENTION — управление запретом запуска объектов

avp.com PREVENTION /SHOW - показать состояние всех задач Prevention.

avp.com PREVENTION /SHOW EDR - показать настройки Prevention для EDR.

avp.com PREVENTION /SHOW KATA - показать настройки Prevention для KATA.

avp.com PREVENTION /SHOW KICS - показать настройки Prevention для KICS.

avp.com PREVENTION /DISABLE - отключить все задачи Prevention.

avp.com PREVENTION /DISABLE EDR - отключить Prevention для EDR.

SVMINFO, VIISINFO, KSVLAINFO – Работа с KES в режиме Лёгкого агента

avp.com SVMINFO - показать информацию о подключении к SVM

avp.com VIISINFO - показать информацию о подключении к серверу интеграции.

avp.com KSVLAINFO - показать информацию о работе приложения в режиме Лёгкого агента.

Дополнительные команды

avp.com EXIT - завершить работу KES

avp.com EXITPOLICY – отключить применяемую с KSC политику

avp.com STARTPOLICY - включить применяемую с KSC политику

avp.com RESETMDRMACHINEID - сбросить идентификатор MDR

avp.com SERVERBINDINGDISABLE - отключить защиту подключения к серверу администрирования

avp.com PBATESTRESET - удалить информацию о несовместимости системного диска и агента аутентификации. Может быть необходимо Перед запуском полнодискового шифрования. Подробнее см. в справке

TIP: PoC

Kaspersky Threat Intelligence

Threat Intelligence от Kaspersky – это доступ к аналитике, необходимой для снижения киберрисков, предоставляемой командой мировых исследователей и аналитиков.

Основные типы Threat Intelligence:

Тип	Описание
Тактическая	Краткосрочная, быстро устаревающая информация, поддерживающая операции SOC и реагирование на инциденты (например, IOCs новых атак).
Оперативная	Данные о кампаниях, TTP, атрибуции актёров, их возможностях и намерениях.
Стратегическая	Информация для C‑уровня и совета директоров: тренды, мотивации актёров, классификации.

Область применения PoC Threat Intelligence

Вы получаете доступ к Kaspersky Threat Intelligence Portal: https://tip.kaspersky.com. Ниже перечислены доступные функции и их ограничения в рамках PoC.

Threat Landscape

Функция	Доступ	Ограничения
Hunt Hub	Ограниченный доступ, детали правил скрыты	—
TTPs	Полный доступ, правила Suricata и Sigma не доступны для скачивания	—
Actors	Полный доступ	—
Software	Полный доступ	—
Mitigations	Полный доступ	—
Vulnerabilities	Полный доступ	—

Threat Lookup – 100 запросов в день

Возможность	Квота
WHOIS Hunting Rule (Normal)	1 правило
WHOIS Hunting Rule (High)	1 правило
Saved Search	10 правил
Research Graph	100 графов

Reporting

Возможность	Квота
APT Intelligence Reporting	10 отчётов (Master Yara и Master IoC отключены)
Crimeware Intelligence Reporting	10 отчётов (Master Yara и Master IoC отключены)

Threat Analysis

Возможность	Квота
Cloud Sandbox	10 запросов в день
Threat Attribution Engine	10 запросов в день
Similarity	10 запросов в день

Прочие функции

• Digital Footprint Intelligence – лишь демонстрационные уведомления.
• Threat Infrastructure Tracking – уровень страны.
• Data Feeds – только демонстрационные фиды.

---

Kaspersky Threat Landscape

Исполнительное резюме

Глобальная картина угроз постоянно меняется: появляются новые методы атак, а известные становятся более изощрёнными. Пользователям необходимо быстро приоритизировать те угрозы, которые требуют незамедлительного реагирования.

Раздел «Threat Landscape» предоставляет информацию о злоумышленниках, нацеленных на конкретную отрасль и регионы, связывает технологии обнаружения с глобальной разведкой, даёт полную и актуальную контекстную информацию о тактиках, техниках и процедурах (TTP) атакующих.

Цель сервиса

Пользователи портала могут самостоятельно сформировать свою Threat Landscape в соответствии с матрицей MITRE ATT&CK, получая:

• актуальные техники, тактики и процедуры, которые могут быть использованы против них;
• детальные описания актёров, вредоносного ПО и используемых TTP;
• отчёты с подробным описанием атак;
• рекомендации‑смягчения (mitigations) – конкретные меры для предотвращения выполнения техники.

Процедуры тестирования

Threat Landscape предлагает данные по:

• географии;
• отрасли;
• типам угроз и актёрам;
• их TTP;
• используемому вредоносному ПО;
• релевантным IOC.

Как работает матрица MITRE ATT&CK

• Такт – цель, которую преследует злоумышленник.
• Техника – действие, реализующее цель.
• Подтехника – конкретный метод выполнения техники.

Пользователь может:

• просматривать всё TTP или фильтровать их;
• скрывать/показывать тактики/техники;
• раскрывать/сворачивать все подтехники;
• использовать полноэкранный режим;
• видеть список подтехник с количеством связанных подпунктов;
• получать имена и ID TTP;
• переходить к детальному описанию каждой записи.

Статистика в Threat Landscape

• Top Techniques – наиболее часто используемые техники.
• Attacks by Industry – отрасли, получающие наибольшее количество атак.
• Related Rules and Reports – количество использованных правил и соответствующих отчётов.
• Top Software – часто используемое вредоносное ПО.
• Top Tactics – популярные тактики.
• Related Actors – активные актёры.

Фильтры автоматически обновляют статистику и графики.

Цели тестирования

Тестировать возможность Threat Landscape выполнять следующие задачи:

1. Создать heat‑map MITRE ATT&CK, релевантную компании.
2. Предоставить практичную информацию о TTP, релевантных компании.
3. Определить актёров‑угроз и инструменты, используемые ими.

---

Тест 1 – Создание MITRE ATT&CK heat‑map, релевантной компании

Портал позволяет сохранять наборы фильтров, которые затем применяются к матрице ATT&CK.

Возможные фильтры

Фильтр	Описание
Actor	Актёры/группы, использующие техники ATT&CK (включая алиасы).
Industry	Отраслевой фильтр.
Affected countries	Страны/регионы.
Platform	Семейства ОС, к которым применимы техники.

Как применить фильтры

1. На странице Threat Landscape выберите нужные фильтры и нажмите Apply.
2. При необходимости нажмите Reset to default для сброса.

Как сохранить набор фильтров

1. Выберите фильтры → Save.
2. В боковой панели введите имя (до 255 симв.) и описание (до 2048 симв.).
3. Нажмите Save – набор появится в коллекции.

Работа с сохранёнными наборами

• Filter collection – список всех наборов, созданных пользователями организации (видно имя, описание, дату создания/изменения, автора).
• Можно искать по имени, применять, редактировать (Edit) или удалять (Delete) набор.

Примерный чек‑лист действий

№	Действие	Ожидаемый результат
1	Выбрать Affected countries → Россия и СНГ.	Heat‑map подсветит TTP, актуальные для выбранных стран.
2	Добавить Industry → Государственный сектор.	Heat‑map уточнит подсветку в соответствии с выбранной отраслью.
3	Нажать Hide (правый‑верхний угол).	Появятся только релевантные TTP.
4	Прокрутить вниз к Top Techniques / Top Tactics / Top Software и другим дашбордам.	Дашборды отразят данные, соответствующие выбранным фильтрам.

---

Тест 2 – Предоставление практичной информации о TTP, релевантных компании

Тактики

Страница Tactics содержит список тактик и общую информацию:

Поле	Описание
ID	Идентификатор тактики в MITRE ATT&CK.
Name	Наименование тактики (кликабельно, ведёт к детальному описанию).
Adversary action	Действие, которое злоумышленник стремится выполнить.
Created / Updated	Даты создания и последнего обновления.

Техники

Поле	Описание
Description	Подробное описание техники.
ID	Идентификатор техники.
Sub‑techniques	Список подтехник (кликабельно).
Tactics	Связанная тактика (кликабельно).
Platforms	ОС/приложения, в которых техника реализуется.
Permissions required	Требуемые привилегии.
Created / Updated / Version	Дата создания, последнего обновления, версия.

Подтехники

Поле	Описание
Description	Подробное описание подтехники.
ID	Идентификатор подтехники.
Sub‑technique of	Родительская техника (кликабельно).
Tactics / Platforms / Permissions required	Как у техники.
Created / Updated / Version	Даты и версия.

Примеры процедур

Раздел Procedure examples показывает хеши, связанные с подтехникой.

Поле	Описание
ID	ID актёра/программы, если привязан.
Name	Наименование актёра/программы/детекции.
Hash	MD5‑хеш.

Правила (Rules)

Раздел Rules перечисляет правила, покрывающие подтехнику. Возможна загрузка полного списка правил (Sigma, Suricata) при наличии коммерческой лицензии.

Sigma‑правила

Поле	Описание
ID	Идентификатор правила.
Title	Название.
Description	Описание.
Severity	Уровень серьёзности.
Actions	Кнопка загрузки полного файла правила.

Suricata‑правила

Поле	Описание
ID	Идентификатор.
Content	Текст правила (первые 100 символов).
Actions	Кнопка загрузки.

Отчёты (Reports)

Список отчётов, относящихся к подтехнике. Клик по строке раскрывает детали.

Поле	Описание
Date	Дата публикации.
Group	Группа отчёта – APT, Crimeware, Industrial.
Report ID	Идентификатор отчёта (кликабельно открывает полное описание).
Report	Название, краткое резюме, ссылки на загрузку в разных форматах.
Tags	Теги отчёта.

Примерный чек‑лист

№	Действие	Ожидаемый результат
1	Открыть релевантную Technique из heat‑map (например, Boot or Logon Autostart Execution).	Переход к странице техники.
2	Перейти к подтехнике (например, Registry Run Keys / Startup Folder).	Переход к странице подтехники.
3	Прокрутить до Procedure examples и нажать Export.	Файл JSON с примерами процедур скачан.
4	Прокрутить до Rules.	Виден список доступных Sigma/Suricata/EDR‑правил, их можно экспортировать.

---

Тест 3 – Идентификация актуальных для компании актёров‑угроз и их инструментов

Актёры

На странице Threat Landscape → Actors отображается список профилей актёров. Каждый профиль содержит:

• общий обзор, поражённые страны, алиасы, жертвы, кампании, наборы инструментов, внешние ссылки.

Поле	Описание
ID	Идентификатор актёра.
Name	Основное имя (кликабельно → профиль).
Description	Краткое описание.
Aliases	Список алиасов.
Industries	Целевые отрасли.
Countries	Страны/регионы, где происходили атаки.
Updated	Дата последнего обновления.

Профиль актёра

• General information – имя, группа (APT/Crimeware), иконка, алиасы.
• CVEs – уязвимости, которые актёр использует.
• Software – инструменты/вредоносное ПО, применяемое актёром (кликабельно → профиль ПО).
• TTPs Details – таблица MITRE ATT&CK TTP, используемых актёром (можно экспортировать в JSON).
• Reports – список относящихся к актёру отчётов (с датой, группой, ID, названием, тегами).

Пример действий

№	Действие	Ожидаемый результат
1	Открыть вкладку Actors, отфильтровать Affected Countries → Россия и Industries → Государственный сектор.	Список актёров, соответствующих фильтрам.
2	Выбрать актёра (пример – Angry Likho).	Откроется профиль с описанием, TTP, отчётами.
3	В разделе TTPs Details нажать Download JSON.	Скачан JSON‑файл со всеми TTP.
4	В секции Reports просмотреть последние отчёты.	Список доступных отчётов.
5	Перейти к связанному Software (пример – Lumma Stealer).	Появится профиль ПО с описанием, возможностями детекции и TTP.
6	В Procedure examples нажать Download JSON.	Скачан JSON со списком хешей.
7	Дополнительно: сформировать heat‑map, выбрав страну, актёра, отрасль и платформу (например, Windows).	Получена кастомизированная матрица ATT&CK.

Программное обеспечение (Software)

На странице Threat Landscape → Software перечисляются инструменты, используемые в APT‑кампаниях.

Поле	Описание
ID	Идентификатор ПО.
Name	Наименование (кликабельно → профиль).
Aliases	Альтернативные имена.
Platforms affected	Уязвимые/затронутые платформы.
Related threat actors	Актёры, использующие ПО.
Updated	Дата последнего обновления.

Профиль программного обеспечения

• Description – цель и функции.
• Exploited vulnerabilities – уязвимости, которые ПО использует.
• TTPs Details – таблица MITRE ATT&CK TTP (экспорт в JSON).
• Procedure examples – хеши, примеры файлов.

Пример действий (см. таблицу выше)

---

Mitigations (смягчения)

Раздел Mitigations предоставляет сведения о мерах и технологиях, которые могут предотвратить успешное выполнение техники или подтехники.

Поле	Описание
ID	Идентификатор смягчения.
Name	Наименование (кликабельно → подробный профиль).
Updated	Дата/время последнего обновления.

Поиск возможен по имени или ID.

---

Чек‑лист результатов тестов

№	Критерий успеха	Достигнуто (да/нет)	Комментарий
1. Создать heat‑map MITRE ATT&CK
1.1	После выбора отрасли – heat‑map обновилась в реальном времени.	Да
1.2	После выбора географии – heat‑map обновилась в реальном времени.	Да
1.3	Фильтры легко фокусируют информацию о релевантных TTP.	Да
1.4	Threat Landscape предоставляет сводку по топ‑TTP и ПО.	Да
2. Предоставить практичную информацию о TTP
2.1	Лёгкий доступ к детальной информации о тактиках/техниках/подтехниках.	Да
2.2	Возможность собрать procedure examples.	Да
2.3	Экспорт примеров процедур в нужном формате (JSON).	Да
2.4	Предоставляются Sigma‑правила.	Да
2.5	Предоставляются Suricata‑правила.	Да
2.6	Предоставляются EDR‑правила (при наличии лицензии).	Да
3. Идентифицировать актёров и их инструменты
3.1	Лёгкий поиск актёров, релевантных компании.	Да
3.2	Экспорт TTP актёров в другие системы.	Да
3.3	Быстрый доступ к TI‑отчётам по актёрам.	Да
3.4	Возможность найти ПО, используемое актёрами.	Да
3.5	Экспорт примеров процедур, использованных актёрами.	Да

---

Отчётность

Исполнительное резюме

Совместный обмен разведданными – ключ к стратегии безопасности любой организации. Проблема большинства компаний – смешивание информации и разведки: без контекста «терабайты» данных мало что значат.

Наша позиция – предоставлять глубокую аналитическую разведку (APT‑кампании, финансово‑мотивированные группы, такие как Duqu, Carbanak, The Flame, Careto, Equation Group) и одновременно сохранять практический контекст для оперативного использования.

Цель сервиса

Kaspersky APT Intelligence Reporting – надёжный аналитический сервис, дающий:

• сведения о текущих APT‑кампаниях, тактиках, техниках, инструментах и IOC;
• рекомендации по обнаружению и смягчению;
• executive‑summary для руководства;
• техническую детализацию для аналитиков.

Kaspersky Crimeware Intelligence Reporting – информирует о кампаниях, направленных на финансовый сектор, банковские системы и платежные шлюзы.

Процедуры тестирования

Сервис предоставляет четыре типа отчётов:

1. APT‑отчёты (конкретные атаки) – executive‑summary, детальное описание, выводы и рекомендации, приложения (технический анализ, IOC, C2, хеши, маппинг MITRE ATT&CK).
2. Crimeware‑отчёты (анализ криминального ПО).
3. Researcher notes – дополнительные заметки от аналитиков.
4. Monthly APT activity report – обзор активности за месяц.

Фильтрация по Tags (Industry, Geolocation, Threat Actor). С помощью колонки Group можно отделить APT‑отчёты от Crimeware‑отчётов.

Тест 4 – Работа с актёрами и ПО

№	Действие	Ожидаемый результат
1	Открыть вкладку Reporting, отфильтровать по тегу Geo → Россия и Industry → Government.	Показаны отчёты, соответствующие выбранным тегам.
2	Найти нужный отчёт и кликнуть по Report ID (пример – Awaken Likho).	Открыт детальный отчёт.
3	Скачать Report (En) (PDF).	PDF‑файл скачан и открывается.
4	Скачать IoC (OpenIOC) и открыть в текстовом редакторе.	Список IOC получен.
5	Скачать Yara‑правила и открыть в редакторе.	Правила Yara получены.

---

Kaspersky Threat Lookup

Исполнительное резюме

Threat Lookup предлагает единый веб‑сервис, собирающий всю накопленную Kaspersky информацию о киберугрозах и их взаимосвязях. Цель – дать команде безопасности максимум данных для предотвращения атак до их возникновения.

Ключевые возможности

• Надёжная разведка – проверенные данные, низкий уровень ложных срабатываний.
• Реальное время – автоматическая генерация данных по всему миру.
• Threat hunting – проактивный поиск, раннее обнаружение.
• Широкий спектр данных – хеши, URL, IP, WHOIS/DNS, pDNS, GeoIP, атрибуты файлов, цепочки загрузок, timestamps и пр.
• Непрерывная доступность – отказоустойчивая инфраструктура.
• Экспорт в STIX, OpenIOC, JSON, Yara, Snort, CSV.
• Web‑интерфейс и REST‑API.

Процедуры тестирования

• Поиск индикаторов (IP, домен, хеш, URL) через веб‑интерфейс или API.
• Оценка статуса (malicious, clean, unknown и т.п.).
• Просмотр подробностей (WHOIS, DNS, связанные файлы, URL‑маски, спам‑/фишинг‑атаки).
• Кнопки Open in research graph, Copy request, Export all results (CSV, OpenIOC, STIX).

Пример анализа хеша

Поле	Описание
Status	Малисийный/чистый/неизвестный.
Hits	Популярность (сколько раз обнаружен).
First/Last seen	Дата первого/последнего появления.
Format	Формат файла.
Size	Размер (байт).
Signed by / Packed by	Подписант / упаковщик.
MD5 / SHA‑1 / SHA‑256	Хеши.
Category	Принадлежность к APT.
Reports	Ссылка на связанные отчёты (при наличии лицензии).
Data Feeds	Список фидов, содержащих объект.
Industries	Отрасли, где объект встречался.

Пример анализа IP‑адреса

Поле	Описание
Status	Рискованность.
Hits	Популярность.
First/Last seen	Даты появления.
Threat scope	Оценка (0‑100).
Owner name / ID	Владелец.
Created / Updated	Даты регистрации/обновления.
Category	Категория.
Reports / Data Feeds / Industries	Аналогично хешам.

Пример анализа домена/URL

Поле	Описание
Status, IPv4 count, Files count, Created, Expires, Domain, Registrar, Owner, Category, Reports, Data Feeds, Industries	Как в таблицах выше.

Тест 5 – Работа с Threat Lookup

№	Действие	Ожидаемый результат
1	Ввести IP 81.0.236.93 в Master search. Проверить Overview, WHOIS, Timeline, Files related.	Показаны результаты поиска.
2	В секции Files related to IP address нажать Download data.	CSV‑файл со списком файлов скачан.
3	Поиск в системе по одному из хешей (пример 093B946FD1C80071AA0AE912D7362FAA). Перейти к Files downloaded from web address и открыть URL.	Показаны результаты по выбранному хешу и URL.
4	В Files that accessed the requested web address кликнуть хеш → открывается страница хеша.	Показан список хешей.
5	Прокрутить к TTPs details для данного хеша.	Видны детали TTP.

AI OSINT IoCs

Раздел AI OSINT IoCs автоматически генерирует резюме из открытых источников (соцсети, блоги, форумы) по запрошенному индикатору.

• Возможные поля в AI‑резюме: Observed, Threat actors, Affected areas, Affected industries, Associated software, Exploited vulnerabilities, Exploited weaknesses, General threat information, Highlights.

Тест 6 – Работа с AI OSINT IoC

№	Действие	Ожидаемый результат
1	На главной странице кликнуть по индикатору (пример 346C29015AFE9380B6499F5A88CDDBB7), открыть вкладку OSINT IoCs.	Переход к Look‑up‑tab.
2	Проверить AI‑генерированную карточку.	Карточка отображается сверху.

Сохранённые поиски (Saved Searches)

Позволяют задать периодические запросы (ежедневно) для отслеживания изменений индикаторов.

Тест 7 – Работа со Saved Searches и Research Graph

№	Действие	Ожидаемый результат
1	В Saved Searches создать запрос, отслеживающий файлы, обращающиеся к вашему домену (пример: Request → kaspersky.com, Service → Lookup, Section → Files accessing domain, Name → test).	Открыта страница создания поискового запроса.
2	Через 24 ч проверить результаты.	Появится AI‑карточка с новыми данными.
3	Ввести IP в Master search, нажать Open in research graph.	Откроется страница графа.
4	Правой кнопкой мыши по группе объектов → Show grouped nodes, найти нужный хеш, перетащить в граф.	Хеш добавлен в граф.

---

Kaspersky Threat Analysis

Исполнительное резюме

Традиционные антивирусы способны остановить лишь известные угрозы. Сегодня необходимы аналитика поведения, атрибуция и технологии сходства, позволяющие обнаруживать ранее невидимый малвер. Kaspersky Threat Analysis объединяет:

• Cloud Sandbox – динамический анализ поведения.
• Attribution Engine – определение источника/автора APT‑образцов.
• Similarity – поиск файлов, схожих по поведению и структуре.

Эти инструменты позволяют ускорить приоритизацию инцидентов и автоматизировать рутинные задачи.

Kaspersky Research Sandbox (облачная версия)

• Гибридный подход: эмуляция поведения + анти‑эвейшн‑техники.
• Патент US10339301.
• Автоматическое ускорение времени внутри ВМ, когда малвер пытается «замедлиться» в VM.

Как загрузить и проанализировать файл

1. Upload and execute file – выбрать файл (или drag‑and‑drop). Максимальный размер – 256 МБ.
2. Выбрать нужные технологии: Sandbox, Attribution, Similarity (по умолчанию только Sandbox).
3. При необходимости указать Archive password, Document password, Internet channel (Any, Tor, Tarpit, отдельные страны).
4. Выбрать File execution environment (Windows XP, 7 x86/64, 10 x64, Android x86/ARM).
5. При желании задать Execution time, Decrypt HTTPS, Click links, Command line parameters.
6. Нажать Start analysis → ожидать завершения (в Recent results статус Completed).

Выводы Sandbox

• Summary – карта активности, скриншоты, сетевые запросы.
• Results – обнаруженные угрозы, правила, сетевые активности.
• Static analysis – только для Android.
• System activities, Extracted files, Network activities – детальная информация.
• Для каждой секции доступна кнопка Download data (CSV, JSON, STIX, ZIP).

Тест 8 – Анализ подозрительного файла в Cloud Sandbox

№	Действие	Ожидаемый результат
1	Скачать образец по ссылке https://support.kaspersky.com/common/diagnostics/7399, загрузить в Threat Analysis, нажать Start file analysis, после завершения открыть Sandbox.	Появятся результаты анализа, summary в верхней части.
2	Кликнуть Malware в разделе Detects.	Показаны названия детекций.
3	Прокрутить до Execution map.	Отображаются действия файла в системе.
4	Прокрутить до Screenshots.	Показаны скриншоты выполнения.
5	Нажать Export Results → Debug report.	Скачан zip‑архив (пароль infected) со всеми API‑вызовами.

Kaspersky Attribution Engine (облачная версия)

• Сравнивает загруженный файл с базой более 80 000 APT‑образцов и 25‑летней коллекцией «чистых» файлов.
• Выдаёт Summary, Sample & Content, Similar samples, Matched genotypes, Matched strings.
• Экспорт в JSON, STIX, CSV.

Kaspersky Similarity

• Ищет файлы с похожими хешами (50+ типов similarity‑hashes).
• Отображает Summary, Sample & Content, Similar files, Confidence (8‑11), Statistics, Detection names, Status summary.

---

Threat Infrastructure Tracking

Исполнительное резюме

Сервис Threat Infrastructure Tracking выдаёт IP‑адреса инфраструктуры, связанной с продвинутыми угрозами (C2‑серверы, хостинг‑провайдеры и пр.). Обновляется ежедневно, содержит:

• IP, дата первого/последнего появления, домен, страна, тип IP, теги, краткое описание.

IP‑адреса доступны в машинно‑читаемом виде (JSON/CSV) для интеграции в существующие решения.

Процедуры тестирования

• Доступен в Threat Intelligence Portal → вкладка Active feed (список IP) и History (история активности).
• Фильтрация по стране.

Тест 9 – Работа с вкладкой Threat Infrastructure

№	Действие	Ожидаемый результат
1	Открыть Threat Infrastructure.	Показан список IP‑адресов, принадлежащих C2.
2	Нажать Download data → выбрать JSON или CSV. При нажатии на IP перейти в Threat Lookup для детального просмотра.	Скачан файл, пригодный для использования в виде Data Feed.

---

Ссылки

• https://www.kaspersky.com/
• https://www.securelist.com

© 2025 AO Kaspersky Lab. Все зарегистрированные товарные знаки и знаки обслуживания являются собственностью их владельцев.

---

Примечание: Некоторые разделы (например, таблицы с нумерацией «0», «1», «2») содержат placeholder‑значения в оригинальном документе; в переводе они оставлены без изменения. При необходимости уточните их контекст у поставщика услуги.

DFI: Плейбук реагирования на инцидент

Сценарии реагирования на инцидент

1. Анализ причин (Root‑cause analysis)

   • Сначала выясняем, что именно привело к утечке данных.
   • Составляем список недостающих мер контроля и разрабатываем план, как избежать подобных проблем в будущем.
   • Ключевые вопросы: какие‑то меры предотвращения угроз не были применены? Каков был доступ (внешний / внутренний) к системе?

2. Обновление базовой модели угроз

   • На основании новой информации меняем уровни опасности для конкретных злоумышленников и пересматриваем профиль угроз для затронутых систем.
   • При необходимости внедряем новые механизмы обнаружения, чтобы лучше ловить похожие атаки.

3. Оценка человеческого фактора

   • Анализируем, могла ли ошибка сотрудника стать причиной инцидента.
   • Если да – планируем и проводим тренировку по повышению осведомлённости пользователей (фишинг, безопасная работа с данными и т.д.).

4. Обогащение контекста оповещения/инцидента

   • Проверяем, какие данные были упущены на каждом этапе обработки CTI‑оповещения и инцидента.
   • Особое внимание уделяем шагам, где происходил обмен информацией между командами.
   • Планируем улучшения, чтобы в следующий раз весь необходимый контекст был доступен сразу.

5. Обновление плана реагирования
   – На основе выявленных недостатков вносим правки в текущие процедуры и сценарии реагирования (добавляем новые шаги, меняем порядок действий).

---

1. Схема (BPMN‑диаграмма) уровня 1 – «Полный жизненный цикл инцидента»

+-------------------+      +----------------------+      +-------------------+
|   (Start)         | ---> | 1. Получить CTI‑     | ---> | 2. Классификация   |
|   Событие         |      |    оповещение        |      |    инцидента       |
|   «Обнаружение»   |      |    (авто)            |      |  (руч.)            |
+-------------------+      +----------------------+      +-------------------+
                                 |  (gateway)                     |
                                 v                               v
                     +----------------------+      +-------------------+
                     | 3. Автоматическая    | ---> | 4. Оценка риска   |
                     |    блокировка (SIEM) |      |    (T1/T2)        |
                     +----------------------+      +-------------------+
                                 |                               |
                                 v                               v
                     +----------------------+      +-------------------+
                     | 5. Ручной анализ     | ---> | 6. Обогащение     |
                     |    (SOC‑аналитик)    |      |    контекста      |
                     +----------------------+      +-------------------+
                                 |                               |
                                 v                               v
                     +----------------------+      +-------------------+
                     | 7. Корневой          | ---> | 8. Обновление     |
                     |    анализ (RCFA)     |      |    модели угроз   |
                     +----------------------+      +-------------------+
                                 |                               |
                                 v                               v
                     +----------------------+      +-------------------+
                     | 9. Тренинг/          | ---> |10. Обновление     |
                     |    коммуникация      |      |    плана RR       |
                     +----------------------+      +-------------------+
                                 |                               |
                                 v                               v
                     +----------------------+      +-------------------+
                     | 11. Закрытие         | ---> | (End) Событие      |
                     |    инцидента (End)   |      | «Инцидент закрыт» |
                     +----------------------+      +-------------------+

• Стрелки – переходы потока.
• (gateway) – точка принятия решения (одно‑или многопутевой шлюз).
• (авто) – автоматизированный шаг (скрипт, SIEM‑правило).
• (руч.) – действие, требующее участия аналитика.
• T1/T2 – типы задач в соответствии с инструкциями (см. таблицу 2).

Эта схема построена на описанных в приложении элементах диаграмм: начальное и конечное событие, задачи (автоматизированные и ручные), шлюзы и вспомогательные процедуры [1].

---

2. Таблица 1. Элементы BPMN‑диаграммы и их техническое описание

Элемент	Тип BPMN	Техническое назначение	Пример применения в сценарии
Событие (начальное)	Event (Start)	Триггер, инициирующий процесс (получение CTI‑оповещения, обнаружение аномалии в SIEM).	«Обнаружение подозрительного размещения данных».
Событие (конечное)	Event (End)	Завершение процесса, фиксирование статуса инцидента.	«Инцидент закрыт».
Задача (автоматизированная)	Task (Service)	Выполняется скриптом/правилом SIEM, SOAR, API‑интеграцией.	Автоматическая блокировка IP‑адреса.
Задача (ручная)	Task (User)	Операция, требующая человеческого вмешательства (анализ логов, интервью с владельцем бизнес‑процесса).	Ручной анализ утечки в SOC.
Задача T1/T2/T3	Task (Manual)	Специфические задачи, привязанные к инструкциям (например, T1 – первичная оценка, T2 – детальный RCFA).	Задача T2 – корневой анализ причины.
Задача, назначенная аналитику	Task (User)	Операция, явно распределённая конкретному сотруднику (через тикет‑систему).	Тикет «RCFA‑2026‑04‑06‑001» назначен старшему аналитика.
Шлюз (один путь)	Exclusive Gateway	Выбор единственного ветвления на основе условия (например, “риск > high → эскалация”).	Если уровень риска = high → перейти к задаче 8.
Шлюз (много путей)	Parallel Gateway	Параллельное выполнение нескольких веток без приоритета.	Одновременно запускать задачи 7 и 9.
Вспомогательная процедура	Sub‑Process	Выделенный под‑процесс, «свернутый» в диаграмме, выполняющий поддерживающие действия (например, «Формирование отчёта о вредоносном файле»).	Подпроцесс «Отчёт по DDoS‑атаке».

Все определения взяты из приложенного файла [1].

---

3. Таблица 2. Расширенный список задач с техническими деталями

№	Наименование задачи	Техническая реализация	Инструменты / Платформы	Выходные артефакты
1	Приём CTI‑оповещения	API‑получение от внешних источников (MISP, Threat‑Intel‑Feeds)	MISP, OpenCTI, SOAR‑платформа	JSON‑сообщение, тикет в ServiceNow
2	Классификация инцидента	Правило в SIEM (Splunk, QRadar) → рейтинг CVSS/EPSS	Splunk ES, QRadar IR, Cortex XSOAR	Тег «DARKWEB_LEAK», приоритет P1
3	Автоматическая блокировка	Playbook‑action: блокировать IP/URL в FW, обновить deny‑list	Palo Alto API, Cisco FMC, FortiGate	Запись в firewall‑лог
4	Оценка риска (T1/T2)	Корреляция с бизнес‑приоритетами, расчёт «impact»	ServiceNow Risk, RSA Archer	Risk‑score, рекомендация по эскалации
5	Ручной анализ (SOC)	Анализ логов, поиск IOC‑ов, запрос у владельцев	ELK, Graylog, Kibana, Wireshark	Аналитический отчёт (PDF)
6	Обогащение контекста	Enrichment – добавление WHOIS, Shodan, VirusTotal	VirusTotal API, PassiveTotal, Shodan	Обогащённый IOC‑пакет
7	Корневой анализ (RCFA)	5‑Why, Fishbone, построение тайм‑лайн	Miro, Lucidchart, JIRA	RCFA‑документ, диаграмма причин
8	Обновление модели угроз	Пересчёт ATT&CK‑техник, обновление MITRE‑ATT&CK matrix	ATT&CK Navigator, ThreatModeler	Обновлённый ATT&CK‑профиль
9	Тренинг/коммуникация	Плановое обучение, рассылка «lessons learned»	KnowBe4, LMS, Teams	Протокол обучения, feedback‑форма
10	Обновление плана реагирования (RR)	Версионирование плана в Git, CI/CD‑тестирование	GitLab, Confluence, Ansible	New‑RR‑v2.3 (PDF)
11	Закрытие инцидента	Финальный тикет‑статус = «Closed», пост‑мортем‑рекомендации	ServiceNow, JIRA, Confluence	Пост‑мортем‑отчёт, KPI‑отчёт

---

4. Технический поток данных (Data Flow Diagram – уровень 2)

Степень	Источник / Приёмник	Путь передачи	Формат / Протокол	Описание
1	Внешний Threat‑Intel‑Feed	HTTPS POST → SIEM	JSON	Приём новых IOC‑ов о публикации в дарк‑вебе.
2	SIEM → SOAR	REST API	JSON	Триггер автоматической блокировки и создания тикета.
3	SOAR → Firewall	API (XML/JSON)	HTTPS	Добавление IP/URL в deny‑list.
4	SOC‑аналитик → Wiki	Web‑UI	HTML/Markdown	Документирование анализа и выводов.
5	Wiki → Threat‑Modeling tool	Export/Import	CSV/JSON	Обновление модели угроз на основе новых тактик.
6	Training platform → End‑users	SMTP / LMS portal	HTML‑email	Рассылка обучающих материалов.
7	RR‑repository (Git) → CI/CD	Git push/pull	Git	Автоматическая проверка синтаксиса и публикация новой версии.

---

5. Пояснение к использованию шлюзов (gateways)

Шлюз	Логика	Техническая реализация
Exclusive Gateway	if (risk_score >= 80) → путь A (эскалация) else → путь B (детальный анализ)	BPMN‑правило в Camunda (${riskScore >= 80})
Parallel Gateway	Запуск задач 7 и 9 одновременно, без ожидания завершения первой	parallelGateway в BPMN‑модели, распределяем поток в два подпроцесса

---

6. Пример кода‑фрагмента (SOAR‑playbook) для пункта 3 «Автоматическая блокировка»

# playbook.yaml – Cortex XSOAR
id: block_darkweb_ioc
name: Block IOC from DarkWeb leak
tasks:
  - name: Get IOC from incident
    script: GetIncidentIOC
    output:
      - ioc_ip
  - name: Add to firewall deny‑list
    script: PaloAltoBlockIP
    args:
      ip: ${ioc_ip}
    condition: ${ioc_ip} != None
  - name: Update ticket status
    script: UpdateTicket
    args:
      status: "In Progress"

Этот playbook реализует автоматизированную задачу (см. элемент «Задача Действие интеграции, которое может быть автоматизировано» в таблице 1) [1].

---

Заключение

Схема, таблицы и примеры кода выше дают техническое представление о полном жизненном цикле реагирования на утечку данных в дарк‑вебе, используя строго определённые элементы BPMN‑диаграмм (начальное/конечное событие, задачи, шлюзы, вспомогательные процедуры) и интеграцию с реальными системами SOC/SIEM/SOAR [1]. При необходимости любую из ветвей (например, более детальный RCFA или автоматизацию блокировок) можно расширить отдельными под‑процессами, сохраняя совместимость с текущей схемой.