Wenn Sie die Alarm-Details analysieren, möchten Sie möglicherweise manuelle Reaktionsmaßnahmen ergreifen oder die Funktion von Endpoint Detection and Response genauer konfigurieren.
Sie können die folgenden Reaktionsmaßnahmen ergreifen:
Das betroffene Gerät vom Netzwerk isolieren.
Die Kompromittierungsindikatoren (IoCs) der erkannten Bedrohung einer regelmäßigen Untersuchung nach Bedrohungen auf Geräten hinzufügen (gilt nur für Alarme, die mittels EPP erkannt wurden).
Die Ausführung des erkannten Objekts verhindern.
Eine Kopie des gefundenen Objekts in die Quarantäne verschieben und das Objekt löschen.
So isolieren Sie ein Gerät vom Netzwerk:
Zeigen Sie in der Nachricht über die Erkennung und Verarbeitung eines Objekts auf die drei horizontalen Punkte, und klicken Sie anschließend auf Gerät isolieren.
Wählen Sie die erforderliche Isolationsdauer aus.
Klicken Sie auf die Schaltfläche Gerät isolieren, um das Gerät zu isolieren.
Das Gerät wird vom Netzwerk isoliert.
Diese Einstellung überschreibt die allgemeinen Isolationseinstellungen und wird nur auf das aktuelle Gerät angewendet. Die allgemeinen Isolationseinstellungen werden nicht geändert.
So fügen Sie die IoCs einer erkannten Bedrohung zu einer regulären Suche nach Bedrohungen hinzu:
Klicken Sie im Abschnitt mit detaillierten Informationen zu einem erkannten Objekt entweder auf die Schaltfläche Zur IoC-Untersuchung hinzufügen oder zeigen Sie auf die drei horizontalen Punkte und klicken Sie anschließend auf Zur IoC-Untersuchung hinzufügen.
Bearbeiten Sie bei Bedarf den Namen und die Beschreibung der Bedrohung. Standardmäßig heißt die Bedrohung "[Threat Graph]<Bedrohungsname aus dem EPP-Alarm>".
Bearbeiten Sie bei Bedarf die Erkennungskriterien (den logischen Operator):
Übereinstimmung mit mindestens EINEM der folgenden, wenn Sie möchten, dass der Alarm ausgelöst wird, wenn mindestens einer der IoCs auf einem Gerät entdeckt wurde (entspricht dem logischen ODER-Operator).
Übereinstimmung mit ALLEN folgenden, wenn Sie möchten, dass der Alarm nur dann ausgelöst wird, wenn alle IoCs gleichzeitig auf einem Gerät gefunden werden (entspricht dem logischen UND-Operator).
Bearbeiten Sie bei Bedarf die Liste der IoCs. Die Liste der IoCs besteht aus zwei Teilen:
Neue IoCs
IoCs, die dem Alarm entnommen werden.
Bereits hinzugefügte IoCs
IoCs, die der gleichen Bedrohung bereits zuvor hinzugefügt wurden (falls vorhanden).
Entfernen Sie bei Bedarf eines der IoCs, indem Sie daneben auf das Symbol Löschen () klicken.
Klicken Sie auf die Schaltfläche Untersuchung starten, um die IoC-Untersuchung zu speichern und auszuführen.
Die IoC-Untersuchungseinstellungen wurden geändert. Die Untersuchung wurde auf den Geräten neu gestartet.
So verhindern Sie die Ausführung eines erkannten Objekts:
Führen Sie eine der folgenden Aktionen aus:
[Für einen mittels EPP erkannten Alarm] Klicken Sie in dem Abschnitt mit den detaillierten Informationen zu einem erkannten Objekt entweder auf die Schaltfläche Ausführung verhindern oder zeigen Sie auf die drei horizontalen Punkte und klicken Sie anschließend auf Ausführung verhindern.
[Für einen mittels IoC-Untersuchung erkannten Alarm] Klicken Sie in dem Abschnitt mit den detaillierten Informationen zu einem erkannten IoC neben Manuelle Reaktion auf Aktionen und wählen Sie anschließend Ausführung verhindern aus.
Überprüfen Sie die Eigenschaften des geplanten Vorgangs: die unerwünschten Objekte, deren Ausführung verhindert werden soll, und die Aktion, die beim Ausführen oder Öffnen dieser Objekte ausgeführt werden soll.
Klicken Sie auf Bestätigen, um den Vorgang zu bestätigen.
Das erkannte Objekt wird den Präventionsregeln für die Ausführung hinzugefügt.
So verschieben Sie eine Kopie des gefundenen Objekts in die Quarantäne und löschen das Objekt.
Führen Sie eine der folgenden Aktionen aus:
[Für einen mittels EPP erkannten Alarm] Klicken Sie in dem Abschnitt mit den detaillierten Informationen zu einem erkannten Objekt entweder auf die Schaltfläche In Quarantäne verschieben oder zeigen Sie auf die drei horizontalen Punkte und klicken Sie anschließend auf In Quarantäne verschieben.
[Für einen mittels IoC-Untersuchung erkannten Alarm] Klicken Sie in dem Abschnitt mit den detaillierten Informationen zu einem erkannten IoC neben Manuelle Reaktion auf Aktionen und wählen Sie anschließend In Quarantäne verschieben aus.
Überprüfen Sie die Eigenschaften des geplanten Vorgangs: die Datei, die in die Quarantäne verschoben wird, und das Gerät, auf dem dies geschieht.
Klicken Sie auf Verschieben, um den Vorgang zu bestätigen.
Kaspersky Endpoint Security für Windows erstellt zunächst für den Fall, dass das Objekt später wiederhergestellt werden muss, eine Backup-Kopie des auf dem Gerät gefundenen schädlichen Objekts. Die Backup-Kopie wird in die Quarantäne verschoben. Anschließend löscht Kaspersky Endpoint Security für Windows das Objekt.