手動でのレスポンス処理の実行

アラートの詳細の分析中、手動でのレスポンス処理の実行、または Endpoint Detection and Response 機能の設定の微調整が可能です。

次のレスポンス処理が実行可能です：

• 影響するデバイスをネットワークから分離します。
• 検知した脅威のセキュリティ侵害インジケーター（IoC）を、デバイスの脅威の定期的なスキャンに追加する（EPP でアラートが検知された場合にのみ可能）。
• 検知したオブジェクトの実行を防止します。
• 検知したオブジェクトを隔離に移動し、オブジェクトを削除します。

デバイスをネットワークから分離するには：

1. オブジェクトの検知と処理に関するメッセージで、三点リーダーにカーソルを合わせて［デバイスを分離］をクリックします。
2. 必要な分離期間を選択します。
3. ［デバイスを分離］をクリックしてデバイスを分離します。

デバイスがネットワークから分離されます。

この設定は全般的な分離の設定よりも優先され、現在のデバイスにのみ適用されます。全般的な分離の設定は変更されません。

検知したオブジェクトの IoC を脅威の定期的なスキャンに追加するには：

1. 検知したオブジェクトの詳細情報のセクションで［IoC スキャンに追加］をクリックするか、三点リーダーにカーソルを合わせて［IoC スキャンに追加］をクリックします。
2. 必要に応じて、脅威の名前と説明を編集します。既定では、脅威の名前は「[Threat Graph]<EPP アラートからの脅威の名前>」の形式です。
3. 必要に応じて、検知の基準（論理演算子）を編集します：
   • 次のいずれかを満たす：指定した IoC がデバイスで 少なくとも 1 個見つかった場合にアラートを発出する場合（OR 論理演算子）。
   • 次のすべてを満たす：指定したすべての IoC が同時にデバイスで見つかった場合にのみアラートを発出する場合（AND 論理演算子）。
4. 必要に応じて、IoC のリストを編集します。IoC のリストには次の 2 つが記載されています：
   • 新しい IoC

     アラートから取得した IoC。

   • 以前に追加した IoC

     同一の脅威に以前に追加された IoC （存在する場合）。

5. 必要に応じて、任意の IoC に隣接する削除アイコン（）をクリックして削除できます。
6. ［スキャン］をクリックして保存し、IoC スキャンを実行します。

IoC スキャン の設定が変更されます。スキャンがデバイスで再度開始されます。

検知したオブジェクトの実行を防止するには：

1. 次のいずれかの操作を実行します：
   • ［EPP で検知したアラートの場合］検知したオブジェクトの詳細情報のセクションで［実行を防止］をクリックするか、三点リーダーにカーソルを合わせて［実行を防止］をクリックします。
   • ［IoC スキャンで検知したアラートの場合］検知した IoC の詳細情報のセクションで、［手動レスポンス］に隣接する［処理］をクリックし、［実行を防止］を選択します。
2. 予定した動作のプロパティをレビューします：実行を防止する不審なオブジェクト、そのオブジェクトを実行または開こうとする動作への処理。
3. ［確認］をクリックし、動作を確定します。

検知したオブジェクトが実行防止ルールに追加されます。

検知したオブジェクトを隔離に移動し、オブジェクトを削除するには：

1. 次のいずれかの操作を実行します：
   • ［EPP で検知したアラートの場合］検知したオブジェクトの詳細情報のセクションで［隔離に移動］をクリックするか、三点リーダーにカーソルを合わせて［隔離に移動］をクリックします。
   • ［IoC スキャンで検知したアラートの場合］検知した IoC の詳細情報のセクションで、［手動レスポンス］に隣接する［処理］をクリックし、［隔離に移動］を選択します。
2. 予定した動作のプロパティをレビューします：隔離に移動されるファイルと、その処理が実行されるデバイス。
3. ［移動］をクリックし、動作を確定します。

Kaspersky Endpoint Security for Windows は最初に、デバイスで検知された悪意のあるオブジェクトのバックアップコピーを作成します。これは、後でオブジェクトを復元する必要がある場合のためです。バックアップコピーが隔離に移動されます。次に、Kaspersky Endpoint Security for Windows がオブジェクトを削除します。

ページのトップに戻る