触发事件响应动作

您可以使用与设备关联的注册事件来触发设备上的响应操作。要触发响应操作，设备必须与具有 Endpoint Agent 软件组件并准备从 EPP 应用程序接收数据的设备相关联。

处理事件时，您可以触发以下响应操作：

• 将设备与网络隔离 — 对于与安装了 Endpoint Agent 的设备关联的任何事件。
• 阻止运行、移动到隔离区 — 对于基于 EPP 技术的事件，如果在 Endpoint Agent 中为此事件构建了威胁开发链，并且包含带有威胁检测对象以及“文件创建”或“启动进程”类型的活动事件。您还可以针对此类事件触发“将设备与网络隔离”操作。

对于属于 EDR 事故的事件，您可以为威胁检测对象和其他活动事件中指定的具有“文件创建”或“启动进程”类型的对象触发“阻止运行”和“移动到隔离区”操作。

要从网络中隔离与事件关联的设备：

1. 使用管理员账户通过 Web 界面连接到 Kaspersky Industrial CyberSecurity for Networks 服务器。
2. 在“事件和突发事件”部分的“事件”选项卡上选择事件。

   您可以选择 EDR 事故或与安装了 Endpoint Agent 软件组件的设备关联的任何事件。

   详细信息区域出现在 Web 界面窗口的右侧。

3. 在详细信息区域中，打开“威胁响应”下拉列表并选择“将设备与网络隔离”。

   将打开一个带有确认提示的窗口。

4. 在请求窗口中确认响应操作的开始。

应用程序将注册一个新的响应动作。您可以在事件选项卡的响应操作部分中查看有关此操作的信息。

要阻止执行或将威胁检测对象移动至隔离：

1. 使用管理员账户通过 Web 界面连接到 Kaspersky Industrial CyberSecurity for Networks 服务器。
2. 在“事件和突发事件”部分的“事件”选项卡上选择事件。

   如果威胁开发链包含具有威胁检测对象和“文件创建”或“启动进程”类型对象的活动事件，您可以选择 EDR 事故。

   详细信息区域出现在 Web 界面窗口的右侧。

3. 在详细信息区域中，打开“威胁响应”下拉列表并选择适当的项目：
   • 阻止运行 – 如果您想防止威胁检测对象的执行。
   • 移动到隔离区 – 如果您想将威胁检测对象移至隔离区。

   将打开一个带有确认提示的窗口。

4. 在请求窗口中确认响应操作的开始。

应用程序将注册一个新的响应动作。您可以在事件选项卡的响应操作部分中查看有关此操作的信息。

要阻止执行或将威胁开发链中的“文件创建”或“启动进程”类型的任何活动事件中指定的对象移动至隔离：

1. 使用管理员账户通过 Web 界面连接到 Kaspersky Industrial CyberSecurity for Networks 服务器。
2. 在“事件和突发事件”部分的“事件”选项卡上选择事件。

   您可以选择 EDR 事故。

   详细信息区域出现在 Web 界面窗口的右侧。

3. 在详细信息区域中，转到“所有活动事件”选项卡并选择适当的活动事件。

   您可以选择具有“文件创建”或“启动进程”类型的任何活动事件。关键活动事件（带有威胁检测对象）用“检测”图标标记。

4. 在打开的活动事件详细信息窗口中，单击相应的按钮：
   • 阻止运行 — 如果要阻止所选活动事件中的对象执行。
   • 移动到隔离区 — 如果您要将对象从选定的活动事件移至隔离区。

   将打开一个带有确认提示的窗口。

5. 在请求窗口中确认响应操作的开始。

应用程序将注册一个新的响应动作。您可以在事件选项卡的响应操作部分中查看有关此操作的信息。

页首