Definiowanie ustawień skanowania wskaźników IOC

Konfigurując regularne skanowania w poszukiwaniu zagrożeń na urządzeniach, możesz zdefiniować następujące ustawienia skanowania: terminarz, obszar i automatyczne reakcje.

Aby zdefiniować ustawienia skanowania wskaźników IOC:

Otwórz Konsolę zarządzającą Kaspersky Endpoint Security Cloud.
Wybierz sekcję Zarządzanie ochroną → Endpoint Detection and Response.
Kliknij przycisk Skanowanie IoC .
Na kafelku wymaganego skanowania wskaż pionowy wielokropek, a następnie kliknij Zdefiniuj ustawienia skanowania.
Zostanie otwarte okno Ustawienia skanowania.
Na liście Terminarz wybierz żądaną wartość:
- Nie określono (domyślnie)
  Skanowanie wskaźników IOC nigdy się nie uruchamia.
- Codziennie
  Określ godzinę, o której ma zostać uruchomione skanowanie wskaźników IOC.
- Co tydzień
  Określ dzień tygodnia i godzinę, o której ma zostać uruchomione skanowanie wskaźników IOC.
Skanowanie niestandardowe będzie uruchamiane o określonej godzinie w strefie czasowej UTC±00:00. Skanowanie proaktywne i Skanowanie reaktywne zostanie uruchomione o określonej godzinie w strefie czasowej systemu operacyjnego urządzenia. Jeśli chronione urządzenie jest w trybie offline w zaplanowanym czasie, zadanie zostanie uruchomione, gdy tylko urządzenie przejdzie w tryb online.
W Obszar skanowania kliknij łącze Edit , aby określić listę urządzeń, na których ma zostać uruchomione skanowanie wskaźników IOC.
Zaznacz pola wyboru obok urządzeń, które mają zostać uwzględnione, i odznacz pola wyboru obok urządzeń, które mają zostać wykluczone. Kliknij Zapisz, aby zapisać zmiany.

To ustawienie jest dostępne tylko w przypadku Skanowanie niestandardowe. W przypadku innych skanowań ( Skanowanie proaktywne i Skanowanie reaktywne ) zakres obejmuje wszystkie urządzenia użytkowników z systemem Windows, macOS i Linux. Nie można go modyfikować.

Wszystkie nowe urządzenia, które zostaną dodane w przyszłości, zostaną automatycznie uwzględnione w obszarze skanowania. Jeśli więc chcesz wykluczyć je z obszaru skanowania niestandardowego, musisz to zrobić ręcznie.
W obszarze Akcje w odpowiedzi wybierz działania, które mają zostać podjęte w przypadku wykrycia określonych zagrożeń:
- Tylko alert
  Zdarzenie wykrycia zagrożenia jest dodawane do Dziennika zdarzeń. Żadne inne działania nie są podejmowane.
- Alert i odpowiedź
  Zdarzenie wykrycia zagrożenia jest dodawane do Dziennika zdarzeń. Dodatkowo podejmowane są wybrane działania:
  - Uruchom skanowanie obszarów krytycznych
    Aplikacja zabezpieczająca skanuje pamięć jądra, uruchomione procesy i sektory rozruchowe dysku zagrożonego urządzenia.
  - Przenieś kopię do Kwarantanny i usuń obiekt
    Aplikacja zabezpieczająca najpierw tworzy kopię zapasową szkodliwego obiektu znalezionego na urządzeniu, na wypadek gdyby obiekt wymagał późniejszego przywrócenia. Kopia zapasowa zostaje przeniesiona do Kwarantanny. Następnie aplikacja zabezpieczająca usuwa obiekt.
  - Odizoluj urządzenie od sieci
    Aplikacja zabezpieczająca izoluje urządzenie od sieci, aby zapobiec rozprzestrzenianiu się zagrożenia lub wyciekowi poufnych informacji. Aby skonfigurować czas trwania izolacji, kliknij Ustawienia, a następnie wybierz żądaną wartość.
    
    Czas trwania odizolowania jest wspólny dla wszystkich trzech skanowań IOC. Jeśli zmienisz wartość w ustawieniach jednego skanowania, zmiana będzie propagowana w innych skanowaniach.
    Możesz też skonfigurować czas trwania izolacji, wybierając sekcję Zarządzanie ochroną → Endpoint Detection and Response, a następnie klikając Ustawienia odpowiedzi → Izolacja od sieci.
    
    Jeśli urządzenie działa w systemie macOS lub Linux i jeśli serwer proxy jest skonfigurowany w odpowiednim pakiecie dystrybucyjnym, nie będziesz mógł anulować odizolowania sieciowego urządzenia przed upływem określonego czasu trwania izolacji.
Kliknij Zapisz, aby zapisać zmiany.

Zostaną zdefiniowane ustawienia wybranego skanowania IOC.

Przejdź do góry