При интеграции с решениями Detection and Response вы можете выполнять следующие действия с помощью команд управления карантином:
Восстановление зараженных файлов может привести к заражению устройства.
Помещение файла на карантин
Чтобы поместить файл на карантин, выполните следующую команду:
kesl-control [-Q] --put <путь к файлу> [--md5] [--sha256] [--save-original-file]
где:
<путь к файлу> – путь к файлу, который вы хотите поместить на карантин;--md5 – хеш-сумма MD5 файла, который вы хотите поместить на карантин;--sha256 – хеш-сумма SHA256 файла, который вы хотите поместить на карантин;--save-original-file – не удалять исходный файл. Если вы не укажете этот ключ, исходный файл будет удален.Вы можете использовать эту команду только при интеграции с решением Kaspersky Endpoint Detection and Response Optimum.
Просмотр информации о файлах на карантине
Чтобы просмотреть информацию о файлах карантина, выполните следующую команду:
kesl-control -Q --query ["<условия фильтра>"] [-n <количество>] [--json]
где:
<условия фильтра> – одно или несколько логических выражений в формате <поле> <операция сравнения> '<значение>', скомбинированных с помощью логического оператора and, для ограничения результатов запроса. Если вы не укажете условия фильтра, приложение выведет информацию обо всех файлах на карантине.<количество> – количество последних файлов на карантине, которые нужно вывести. Если вы не укажете ключ -n, будут выведены последние 30 файлов. Чтобы показать все файлы, укажите значение 0.--json – выводить данные в формате JSON.В строке ObjectId отобразится числовой идентификатор, который приложение присвоило файлу при помещении на карантин. Этот идентификатор используется для выполнения действий над файлом, таких как восстановление или удаление файла из карантина.
Восстановление файлов из карантина
Чтобы восстановить файл из карантина с исходным именем в исходное местоположение, выполните следующую команду:
kesl-control -Q --restore <идентификатор объекта>
где <идентификатор объекта> – числовой идентификатор, который приложение присвоило файлу при помещении на карантин.
Чтобы восстановить файл с новым именем из карантина в указанную директорию, выполните следующую команду:
kesl-control -Q --restore <идентификатор объекта> --file <путь к файлу>
где --file <путь к файлу> – новое имя файла и путь к директории, в которой вы хотите сохранить файл.
Если директория удалена или у пользователя нет прав доступа к этой ней, приложение помещает файл в директорию /var/opt/kaspersky/kesl/common/restored/. Вы можете вручную переместить файл из этой директории в нужную директорию.
Удаление файлов из карантина
Чтобы удалить выбранные файлы из карантина, выполните следующую команду:
kesl-control -Q --mass-remove --query "<условия фильтра>"
где <условия фильтра> – одно или несколько логических выражений в формате <поле> <операция сравнения> '<значение>', скомбинированных с помощью логического оператора and, для ограничения результатов запроса.
Примеры: Чтобы удалить файлы, в названии которых или в пути к которым содержится "test":
|
Чтобы удалить все файлы из карантина, выполните следующую команду:
kesl-control -Q --mass-remove