Защитники могут:— временно блокировать узлы инфраструктуры,
— удалять и отправлять файлы в карантин,
— блокировать учетные записи,
— завершать процессы,
— изолировать узлы,
— блокировать атакующих по IP-адресу,
— перенаправлять DNS-запросы,
— отправлять файлы на проверку в PT Sandbox,
— разрывать SSH-, RDP- и VPN-сессии.
Список может быть расширен или урезан из-за организационных или технических изменений.
Время блокировки «красных» определяется условиями кибербитвы, обычно оно составляет не больше 10 минут. Такое ограничение нужно, чтобы команды атакующих могли дальше развивать атаки и реализовывать критические события.
Чтобы реагировать на атаки, защитникам нужно написать пользовательские правила для PT Application Firewall. Из встроенных правил лишь часть будет включена — подробнее о них можно узнать у технической поддержки синих команд. Техническая поддержка также будет проверять качество написанных правил и обсуждать с участниками необходимость их доработки и влияние на соревновательный процесс (пример сложностей описан ниже, в разделе
«Что нельзя делать в режиме реагирования»).
Задачи синих