与 Detection and Response 解决方案集成时,您可以在命令行上使用隔离区管理命令来执行以下操作:
恢复受感染的文件可能会导致设备感染。
隔离文件
要隔离文件,请运行以下命令:
kesl-control [-Q] --put <文件路径> [--md5] [--sha256] [--save-original-file]
其中:
<文件路径> 是要隔离的文件的路径。--md5 是您要隔离的文件的 MD5 哈希值。--sha256 是您要隔离的文件的 SHA256 哈希值。--save-original-file 保留原始文件。如果不指定此选项,则原始文件将被删除。
仅当用户账户具有删除对象的权限时,才会删除原始文件。如果权限不足,则会显示文件删除错误信息。
仅当与Kaspersky Endpoint Detection and Response Optimum或Kaspersky Managed Detection and Response集成时,您才可以使用此命令。
查看有关隔离文件的信息
要查看有关隔离文件的信息,请运行以下命令:
kesl-control -Q --query ["<筛选条件>"] [-n <数量>] [--json]
其中:
<筛选条件>:一个或多个逻辑表达式,格式为 <字段><比较运算符> '<值>',结合逻辑运算符 and 来限制结果。如果您不指定任何筛选条件,应用程序将显示隔离文件的详细信息。<number> 是要显示的最近隔离文件的数量。如果您不指定 -n选项,则会显示最后 30 个文件。指定 0 则显示所有文件。--json:以 JSON 格式输出数据。ObjectId 行显示应用程序在隔离对象时分配给该对象的数字标识符。此 ID 用于对文件执行操作,例如还原文件或将其从隔离区中删除。
从隔离区恢复文件
要将文件以原始名称从隔离区恢复到其原始位置,请执行以下命令:
kesl-control -Q --restore <对象 ID>
其中 <object ID> 是应用程序在隔离文件时分配给文件的数字 ID。
要将文件以新名称从隔离区恢复到指定目录,请执行以下命令:
kesl-control -Q --restore <对象 ID> --file <文件路径>
其中 --file <文件路径> 是文件的新名称和要将文件保存到其中的目录的路径。
仅当您的用户拥有 root 权限时,您才可以将文件从隔离区恢复到其他目录。如果您的用户权限不足,则只能将文件恢复到其原始位置。
从隔离区中删除文件
要从隔离区中删除选定的文件,请运行以下命令:
kesl-control -Q --mass-remove --query "<筛选条件>"
其中 <筛选条件> 是一个或多个逻辑表达式,格式为 <字段> <比较运算符> ‘<值>’,结合逻辑运算符 and 来限制结果。
|
例如: 要删除名称或路径中包含“test”的文件:
|
要从隔离区中删除所有文件,请运行以下命令:
kesl-control -Q --mass-remove