Ręczne wykonywanie działań

Podczas analizowania szczegółów alertów możesz chcieć ręcznie wykonać działania lub dostosować funkcję Endpoint Detection and Response.

Możesz podjąć następujące kroki:

W celu odizolowania urządzenia od sieci:

  1. W komunikacie o wykryciu i przetworzeniu obiektu wskaż poziomy wielokropek, a następnie kliknij Izoluj urządzenie.
  2. Wybierz wymagany czas trwania izolacji.
  3. Kliknij przycisk Izoluj urządzenie, aby odizolować urządzenie.

Urządzenie jest odizolowane od sieci.

To ustawienie zastępuje ogólne ustawienia izolacji i jest stosowane tylko do bieżącego urządzenia. Ogólne ustawienia izolacji nie są zmieniane.

W celu dodania IoC wykrytego zagrożenia do regularnego skanowania w poszukiwaniu zagrożeń:

  1. W sekcji ze szczegółowymi informacjami o wykrytym obiekcie kliknij przycisk Dodaj skanowanie IOC lub wskaż poziomy wielokropek, a następnie kliknij Dodaj skanowanie IOC.
  2. W razie potrzeby edytuj opis i nazwę zagrożenia. Domyślnie zagrożenie nosi nazwę „[Threat Graph] <Nazwa zagrożenia z alertu EPP>”.
  3. W razie potrzeby edytuj kryteria wykrywania (operator logiczny):
    • Dopasuj DOWOLNE z poniższych, jeśli chcesz, aby alert został wyświetlony, jeśli na urządzeniu zostanie znaleziony co najmniej jeden z IoC (operator logiczny OR).
    • Dopasuj WSZYSTKIE z poniższych, jeśli chcesz, aby alert został wyświetlony tylko wtedy, gdy wszystkie IoC zostaną jednocześnie znalezione na urządzeniu (operator logiczny AND).
  4. W razie potrzeby edytuj listę IoC. Lista IoC składa się z dwóch części:
    • Nowe wskaźniki włamania (IoC)

      IoC, które są pobierane z alertu.

    • Poprzednio dodane wskaźniki włamania (IoC)

      IoC, które zostały wcześniej dodane do tego samego zagrożenia (jeśli istnieją).

  5. W razie potrzeby usuń dowolny z IoC, klikając ikonę Usuń (Kosz na śmieci.) obok.
  6. Kliknij przycisk Uruchom skanowanie, aby zapisać i uruchomić skanowanie IoC.

Zmieniono ustawienia skanowania IoC. Skanowanie na urządzeniach zostało wznowione.

W celu zapobieżenia wykonaniu wykrytego obiektu:

  1. Wykonaj jedną z następujących czynności:
    • [W przypadku alertu wykrytego przez EPP] W sekcji zawierającej szczegółowe informacje o wykrytym obiekcie kliknij przycisk Zapobiegaj wykonywaniu lub wskaż poziomy wielokropek, a następnie kliknij opcję Zapobiegaj wykonywaniu.
    • [W przypadku alertu wykrytego przez skanowanie IoC] W sekcji zawierającej szczegółowe informacje o wykrytym IoC, obok opcji Ręczna odpowiedź: kliknij Akcje, a następnie wybierz Zapobiegaj wykonywaniu.
  2. Przejrzyj właściwości planowanej operacji: niechciane obiekty, których wykonanie zostanie uniemożliwione oraz działania, które zostaną podjęte po wykonaniu lub otwarciu tych obiektów.
  3. Kliknij Potwierdź, aby potwierdzić działanie.

Wykryty obiekt jest dodawany do reguł ochrony przed wykonywaniem.

W celu przeniesienia kopii wykrytego obiektu do Kwarantanny i usunięcia obiektu:

  1. Wykonaj jedną z następujących czynności:
    • [W przypadku alertu wykrytego przez EPP] W sekcji zawierającej szczegółowe informacje o wykrytym obiekcie kliknij przycisk Przenieś do Kwarantanny lub wskaż poziomy wielokropek, a następnie kliknij opcję Przenieś do Kwarantanny.
    • [W przypadku alertu wykrytego przez skanowanie IoC] W sekcji ze szczegółowymi informacjami o wykrytym IoC, obok opcji Ręczna odpowiedź: kliknij Akcje, a następnie wybierz Przenieś do Kwarantanny.
  2. Przejrzyj właściwości planowanej operacji: plik, który zostanie przeniesiony do Kwarantanny i urządzenie, na którym to nastąpi.
  3. Kliknij Przenieś, aby potwierdzić działanie.

Kaspersky Endpoint Security for Windows najpierw tworzy kopię zapasową szkodliwego obiektu znalezionego na urządzeniu na wypadek, gdyby obiekt musiał zostać przywrócony w późniejszym czasie. Kopia zapasowa zostaje przeniesiona do Kwarantanny. Następnie Kaspersky Endpoint Security for Windows usuwa obiekt.

Przejdź do góry