Ręczne wykonywanie działań

Podczas analizowania szczegółów alertów możesz chcieć ręcznie wykonać działania lub dostosować funkcję Endpoint Detection and Response.

Możesz podjąć następujące kroki:

• Odizoluj urządzenie, którego dotyczy problem, od sieci.
• Dodaj oznaki naruszenia bezpieczeństwa (IOC) wykrytego zagrożenia do regularnego skanowania urządzeń w poszukiwaniu zagrożeń (dotyczy tylko alertów wykrytych przez EPP).
• Zapobiegnij wykonaniu wykrytego obiektu.
• Przenieś kopię wykrytego obiektu do Kwarantanny i usuń obiekt.

W celu odizolowania urządzenia od sieci:

1. W komunikacie o wykryciu i przetworzeniu obiektu wskaż poziomy wielokropek, a następnie kliknij Izoluj urządzenie.
2. Wybierz wymagany czas trwania izolacji.
3. Kliknij przycisk Izoluj urządzenie, aby odizolować urządzenie.

Urządzenie jest odizolowane od sieci.

To ustawienie zastępuje ogólne ustawienia izolacji i jest stosowane tylko do bieżącego urządzenia. Ogólne ustawienia izolacji nie są zmieniane.

Jeśli urządzenie działa w systemie macOS lub Linux i serwer proxy jest skonfigurowany w odpowiednim pakiecie dystrybucyjnym, nie będzie można anulować odizolowania sieciowego urządzenia przed upływem określonego czasu odizolowania.

Aby dodać wskaźniki IOC wykrytego zagrożenia do regularnego skanowania:

1. W sekcji ze szczegółowymi informacjami o wykrytym obiekcie kliknij przycisk „ Dodaj skanowanie IOC lub wskaż poziomą elipsę, a następnie kliknij Dodaj skanowanie IOC .
2. W razie potrzeby edytuj opis i nazwę zagrożenia. Domyślnie zagrożenie nosi nazwę „ [Wykres zagrożeń]”. <Nazwa zagrożenia z alertu EPP> .
3. W razie potrzeby edytuj kryteria wykrywania (operator logiczny):
   • Dopasuj DOWOLNE z poniższych , jeśli chcesz, aby alert wystąpił, gdy co najmniej jeden wskaźnik IOC zostanie znaleziony na urządzeniu (operator logiczny LUB).
   • Dopasuj WSZYSTKIE z poniższych , jeśli chcesz, aby alert wystąpił tylko wtedy, gdy wszystkie wskaźniki IOC zostaną znalezione na urządzeniu jednocześnie (operator logiczny I).
4. W razie potrzeby edytuj listę wskaźników IOC. Lista wskaźników IOC składa się z dwóch części:
   • Nowe wskaźniki włamania (IoC)

     Wskaźniki IOC pobrane z alertu.

   • Poprzednio dodane wskaźniki włamania (IoC)

     Wskaźniki IOC, które zostały wcześniej dodane do tego samego zagrożenia (jeśli takie były).

5. W razie potrzeby usuń dowolne wskaźniki IOC, klikając przycisk Usuń ( ) ikonę obok.
6. Kliknij przycisk Uruchom skanowanie , aby zapisać i uruchomić skanowanie IOC.

Ustawienia skanowania IOC zostały zmienione. Skanowanie na urządzeniach zostało wznowione.

W celu zapobieżenia wykonaniu wykrytego obiektu:

1. Wykonaj jedną z następujących czynności:
   • [W przypadku alertu wykrytego przez EPP] W sekcji zawierającej szczegółowe informacje o wykrytym obiekcie kliknij przycisk Zapobiegaj wykonywaniu lub wskaż poziomy wielokropek, a następnie kliknij opcję Zapobiegaj wykonywaniu.
   • [W przypadku alertu wykrytego przez skanowanie wskaźnika IOC] W sekcji zawierającej szczegółowe informacje o wykrytym wskaźniku IOC, obok Ręczna odpowiedź kliknij opcję Akcje , a następnie wybierz opcję Zapobiegaj wykonywaniu .
2. Przejrzyj właściwości planowanej operacji: niechciane obiekty, których wykonanie zostanie uniemożliwione oraz działania, które zostaną podjęte po wykonaniu lub otwarciu tych obiektów.
3. Kliknij Potwierdź, aby potwierdzić działanie.

Wykryty obiekt jest dodawany do reguł ochrony przed wykonywaniem.

W celu przeniesienia kopii wykrytego obiektu do Kwarantanny i usunięcia obiektu:

1. Wykonaj jedną z następujących czynności:
   • [W przypadku alertu wykrytego przez EPP] W sekcji zawierającej szczegółowe informacje o wykrytym obiekcie kliknij przycisk Przenieś do Kwarantanny lub wskaż poziomy wielokropek, a następnie kliknij opcję Przenieś do Kwarantanny.
   • [W przypadku alertu wykrytego przez skanowanie wskaźnika IOC] W sekcji zawierającej szczegółowe informacje o wykrytym wskaźniku IOC, obok Ręczna odpowiedź kliknij opcję Akcje , a następnie wybierz opcję Przenieś do Kwarantanny .
2. Przejrzyj właściwości planowanej operacji: plik, który zostanie przeniesiony do Kwarantanny i urządzenie, na którym to nastąpi.
3. Kliknij Przenieś, aby potwierdzić działanie.

Aplikacja zabezpieczająca najpierw tworzy kopię zapasową szkodliwego obiektu znalezionego na urządzeniu, na wypadek gdyby obiekt ten musiał zostać później przywrócony. Kopia zapasowa zostaje przeniesiona do Kwarantanny. Następnie aplikacja zabezpieczająca usuwa obiekt.

Przejdź do góry