Ao analisar os detalhes do alerta, é possível adotar as medidas de resposta manual ou ajustar o recurso Endpoint Detection and Response.
É possível adotar as seguintes medidas de resposta:
Isole o dispositivo afetado da rede.
Adicione os Indicadores de Comprometimento (IOCs) da ameaça detectada a uma verificação regular de ameaças em dispositivos (aplicável apenas a alertas detectados pelo EPP).
Prevenir a execução do objeto detectado.
Mova a cópia do objeto detectado para a Quarentena e exclua o objeto.
Para isolar um dispositivo da rede:
Na mensagem sobre a detecção e processamento do objeto, aponte para as reticências horizontais e clique em Isolar dispositivo.
Selecione a duração de isolamento necessária.
Clique no botão Isolar dispositivo para isolar o dispositivo.
O dispositivo está isolado da rede.
A configuração substitui as configurações gerais de isolamento e é aplicada apenas no dispositivo atual. As configurações gerais de isolamento não são alteradas.
Para adicionar os IOCs de uma ameaça detectada a uma verificação regular de ameaças:
Na seção com informações detalhadas sobre um objeto detectado, clique no botão Adicionar na Verificação de IoC ou aponte para as reticências horizontais e clique em Adicionar na Verificação de IoC.
Caso necessário, edite o nome e a descrição da ameaça. Por padrão, a ameaça é denominada "[Threat Graph]<Nome da ameaça a partir do alerta EPP>".
Caso necessário, edite os critérios de detecção (o operador lógico):
Corresponder a QUALQUER dos seguintes, caso deseje que um alerta ocorra se pelo menos um dos IOCs forem encontrados em um dispositivo (o operador lógico OR).
Corresponder a TODOS os seguintes, caso deseje que um alerta ocorra somente se todos os IOCs forem encontrados em um dispositivo simultaneamente (o operador lógico AND).
Caso necessário, edite a lista de IOCs. A lista de IOCs consiste em duas partes:
Novos IoCs
IOCs retirados do alerta.
IoCs adicionados anteriormente
IOCs adicionados na mesma ameaça anteriormente (caso houver).
Caso necessário, remova qualquer um dos IOCs clicando no botão Excluir () ao lado dele.
Clique no botão Executar verificação para salvar e executar a Verificação de IOC.
As configurações de Verificação de IOC estão alteradas. A verificação foi reiniciada nos dispositivos.
Para prevenir a execução de um objeto detectado:
Execute uma das seguintes ações:
[Para um alerta detectado por EPP] Na seção com informações detalhadas sobre um objeto detectado, clique no botão Prevenir a execução ou aponte para as reticências horizontais e clique em Prevenir a execução.
[Para um alerta detectado pela Verificação de IOC] Na seção com as informações detalhadas sobre um IOC detectado, ao lado de Resposta manual, clique em Ações e então, selecione Prevenir a execução.
Analise as propriedades da operação planejada: os objetos indesejados cuja execução será impedida e a ação a ser adotada na execução ou abertura desses objetos.
Clique em Confirmar para confirmar a operação.
O objeto detectado é adicionado nas regras de prevenção de execução.
Para mover a cópia de um objeto detectado para a Quarentena e excluir o objeto:
Execute uma das seguintes ações:
[Para um alerta detectado por EPP] Na seção com as informações detalhadas sobre um objeto detectado, clique no botão Mover para a Quarentena ou aponte para as reticências horizontais e clique em Mover para a Quarentena.
[Para um alerta detectado pela Verificação de IOC] Na seção com as informações detalhadas sobre um IOC detectado, ao lado de Resposta manual clique em Ações e então, selecione Mover para a Quarentena.
Analise as propriedades da operação planejada: o arquivo que será movido para a Quarentena e o dispositivo no qual isso acontecerá.
Clique em Mover para confirmar a operação.
Primeiramente, o Kaspersky Endpoint Security for Windows cria uma cópia backup do objeto malicioso encontrado no dispositivo, caso o objeto precise ser restaurado posteriormente. A cópia backup é movida para a Quarentena. Em seguida, o Kaspersky Endpoint Security for Windows exclui o objeto.