与 Detection and Response 解决方案集成时,您可以在命令行上使用隔离区管理命令来执行以下操作:
恢复受感染的文件可能会导致设备感染。
隔离文件
要隔离文件,请运行以下命令:
kesl-control [-Q] --put <
文件路径
> [--md5] [--sha256] [--save-original-file]
其中:
<
文件路径
>
是要隔离的文件的路径。--md5
是您要隔离的文件的 MD5 哈希值。--sha256
是您要隔离的文件的 SHA256 哈希值。--save-original-file
保留原始文件。如果不指定此选项,则原始文件将被删除。仅当与 Kaspersky Endpoint Detection and Response Optimum 集成时,您才可以使用此命令。
查看有关隔离文件的信息
要查看有关隔离文件的信息,请运行以下命令:
kesl-control -Q --query ["<
筛选条件
>"] [-n <
数量
>] [--json]
其中:
<
筛选条件
>
:一个或多个逻辑表达式,格式为 <
字段
><
比较运算符
>'<
值
>'
,结合逻辑运算符 and
来限制结果。如果您不指定任何筛选条件,应用程序将显示隔离文件的详细信息。<
number
>
是要显示的最近隔离文件的数量。如果您不指定 -n
选项,则会显示最后 30 个文件。指定 0 则显示所有文件。--json
:以 JSON 格式输出数据。ObjectId
行显示应用程序在隔离对象时分配给该对象的数字标识符。此 ID 用于对文件执行操作,例如还原文件或将其从隔离区中删除。
从隔离区恢复文件
要将文件以原始名称从隔离区恢复到其原始位置,请执行以下命令:
kesl-control -Q --restore <
对象 ID
>
其中 <
object ID
>
是应用程序在隔离文件时分配给文件的数字 ID。
要将文件以新名称从隔离区恢复到指定目录,请执行以下命令:
kesl-control -Q --restore <
对象 ID
> --file <
文件路径
>
其中 --file <
文件路径
>
是文件的新名称和要将文件保存到其中的目录的路径。
如果目录被删除或者用户没有访问权限,应用程序会将文件放在 /var/opt/kaspersky/kesl/common/restored/ 目录中。您可以手动将文件从该目录移动到您选择的目录。
从隔离区中删除文件
要从隔离区中删除选定的文件,请运行以下命令:
kesl-control -Q --mass-remove --query "<
筛选条件
>"
其中 <
筛选条件
>
是一个或多个逻辑表达式,格式为 <
字段
> <
比较运算符
> ‘<
值
>’
,结合逻辑运算符 and
来限制结果。
例如: 要删除名称或路径中包含“test”的文件:
|
要从隔离区中删除所有文件,请运行以下命令:
kesl-control -Q --mass-remove