與 Detection and Response 解決方案整合時,您可以在命令列上使用隔離區管理命令來執行以下操作:
還原感染檔案可能會導致裝置感染。
隔離檔案
若要隔離檔案,請執行以下指令:
kesl-control [-Q] --put <檔案路徑> [--md5] [--sha256] [--save-original-file]
其中:
<檔案路徑> 是要隔離的檔案的路徑。--md5是您要隔離的檔案的 MD5 雜湊值。--sha256是您要隔離的檔案的 SHA256 雜湊值。--save-original-file保留原始檔案。如果不指定此選項,則原始檔案將被刪除。
只有當使用者帳戶具有刪除物件的權限時,才會刪除原始檔案。如果權限不足,則會顯示檔案刪除錯誤訊息。
只有與Kaspersky Endpoint Detection and Response Optimum或Kaspersky Managed Detection and Response整合時,您才可以使用此命令。
檢視關於被隔離檔案的資訊
要檢視關於被隔離檔案的資訊,請執行以下指令:
kesl-control -Q --query ["<篩選條件>"] [-n <number>] [--json]
其中:
篩選條件>:一個或多個邏輯表達式,格式為<欄位>比較運算子>'<值>',結合邏輯運算子and 限制結果。如果您不指定任何篩選條件,應用程式將顯示所有被被隔離檔案的詳細資訊。<number>是要顯示的最近被隔離的檔案的數量。如果不指定-n選項,則顯示最後 30 個檔案。指定 0 則顯示所有檔案。--json:以 JSON 格式輸出資料。ObjectId行顯示應用程式在隔離檔案時指派給該檔案的數字 ID。此 ID 用於對檔案執行操作,例如還原檔案或將其從隔離區中刪除。
從隔離區還原檔案
若要將隔離區中的檔案以其原始名稱還原到原始位置,請執行下列命令:
kesl-control -Q --restore <物件 ID>
其中物件 ID >是應用程式在隔離時指派給檔案的數字 ID。
若要將隔離區中的檔案以新名稱還原到指定目錄,請執行下列命令:
kesl-control -Q --restore <物件 ID> --file <檔案路徑>
其中--file <檔案路徑>是檔案的新名稱和要儲存檔案的目錄的路徑。
只有當您的使用者擁有 root 權限時,您才可以將檔案從隔離區還原到其他目錄。如果您的使用者權限不足,則只能將檔案還原到原始位置。
從隔離區刪除檔案
若要從隔離區刪除選定的檔案,請執行下列指令:
kesl-control -Q --mass-remove --query "<篩選條件>"
其中 <篩選條件>是一個或多個邏輯表達式,格式為<欄位>< 比較運算子>‘<值>’,結合邏輯運算子and 來限制結果。
|
範例: 要刪除名稱或路徑中包含“test”的檔案:
|
若要從隔離區中刪除所有檔案,請執行以下指令:
kesl-control -Q --mass-remove