Bei einer Integration mit Detection and Response-Lösungen können Sie anhand der Befehle zur Verwaltung der Quarantäne die folgenden Aktionen über die Befehlszeile ausführen:
Die Wiederherstellung infizierter Dateien kann zu einer Infektion des Geräts führen.
Datei in die Quarantäne verschieben
Um eine Datei in die Quarantäne zu verschieben, führen Sie den folgenden Befehl aus:
kesl-control [-Q] --put <Dateipfad> [--md5] [--sha256] [--save-original-file]
Wobei gilt:
<Dateipfad> – Pfad der Datei, die Sie in die Quarantäne verschieben möchten--md5 – MD5-Hash der Datei, die Sie in die Quarantäne verschieben möchten--sha256 – Hash der Datei, die Sie in die Quarantäne verschieben möchten--save-original-file – Originaldatei nicht löschen. Wenn Sie diesen Schlüssel nicht angeben, wird die Originaldatei gelöscht.
Die Originaldatei wird nur gelöscht, wenn das Konto des Benutzers über die Berechtigung zum Löschen von Objekten verfügt. Bei unzureichenden Rechten wird beim Löschen der Datei eine Fehlermeldung angezeigt.
Sie können diesen Befehl nur bei Integration mit Kaspersky Endpoint Detection and Response Optimum oder Kaspersky Managed Detection and Response ausführen.
Informationen über Quarantäne-Dateien anzeigen
Um Informationen über Quarantäne-Dateien anzuzeigen, führen Sie den folgenden Befehl aus:
kesl-control -Q --query ["<Filterbedingungen>"] [-n <Anzahl>] [--json]
Wobei gilt:
<Filterbedingungen> – Ein oder mehrere logische Ausdrücke im Format <Feld> <Vergleichsoperator> '<Wert>', kombiniert mit dem logischen Operator and zur Eingrenzung der Abfrageergebnisse. Wenn Sie keine Filterbedingungen angeben, zeigt die Anwendung Informationen zu allen Quarantäne-Dateien an.<Anzahl> – Anzahl der zuletzt in die Quarantäne verschobenen Dateien, die angezeigt werden sollen. Wenn Sie den Schlüssel -n nicht angeben, werden die letzten 30 Dateien angezeigt. Um alle Dateien anzuzeigen, geben Sie den Wert 0 ein.--json – Gibt Daten im JSON-Format aus.In der Zeile ObjectId wird die numerische ID angezeigt, welche die Anwendung der Datei zugewiesen hat, als sie in die Quarantäne verschoben wurde. Diese ID wird verwendet, um Aktionen für eine Datei auszuführen, z. B. beim Wiederherstellen oder Löschen einer Datei aus der Quarantäne.
Dateien aus der Quarantäne wiederherstellen
So stellen Sie eine Datei aus der Quarantäne unter dem ursprünglichen Namen am ursprünglichen Speicherort wieder her:
kesl-control -Q --restore <Objekt-ID>
Dabei steht <Objekt-ID> für die numerische ID, welche die Anwendung der Datei zugewiesen hat, als sie in die Quarantäne verschoben wurde.
So stellen Sie eine Datei unter einem neuen Namen in einem angegebenen Verzeichnis aus der Quarantäne wieder her:
kesl-control -Q --restore <Objekt-ID> --file <Dateipfad>
Dabei steht --file <Dateipfad> für den neuen Dateinamen mitsamt Pfad zu dem Verzeichnis, in dem Sie die Datei speichern möchten.
Sie können eine Quarantäne-Datei nur dann in einem anderen Verzeichnis wiederherstellen, wenn Ihr Konto über Root-Rechte verfügt. Bei unzureichenden Rechten kann die Datei nur an ihrem ursprünglichen Speicherort wiederhergestellt werden.
Dateien aus der Quarantäne löschen
Um ausgewählte Dateien aus der Quarantäne zu löschen, führen Sie den folgenden Befehl aus:
kesl-control -Q --mass-remove --query "<Filterbedingungen>"
Wobei gilt: <Filterbedingungen> – Ein oder mehrere logische Ausdrücke im Format <Feld> <Vergleichsoperator> '<Wert>', kombiniert mit dem logischen Operator and zur Eingrenzung der Abfrageergebnisse.
|
Beispiele: So löschen Sie Dateien, deren Namen oder Pfade "test" enthalten:
|
Um alle Dateien aus der Quarantäne zu löschen, führen Sie den folgenden Befehl aus:
kesl-control -Q --mass-remove