Al analizar los detalles de la alerta, es posible que desee tomar medidas de respuesta manual o ajustar la función Endpoint Detection and Response.
Puede tomar las siguientes medidas de respuesta:
Aislar el dispositivo afectado de la red.
Añadir los indicadores de vulneración (IOC) de la amenaza detectada a un análisis regular de amenazas en los dispositivos (aplicable solo a las alertas detectadas por EPP).
Impedir la ejecución del objeto detectado.
Enviar la copia del objeto detectado a Cuarentena y eliminar el objeto.
Para aislar un dispositivo de la red:
En el mensaje sobre la detección y el procesamiento de objetos, apunte hacia la elipsis horizontal y, a continuación, haga clic en Aislar dispositivo.
Escoja la duración de aislamiento requerida.
Haga clic en el botón Aislar dispositivo para aislar el dispositivo.
El dispositivo está aislado de la red.
Esta configuración anula la configuración de aislamiento general y se aplica solo al dispositivo actual. La configuración general de aislamiento no se cambia.
Para añadir los IOC de una amenaza detectada a un análisis regular de amenazas:
En la sección con información detallada sobre un objeto detectado, haga clic en el botón Añadir a Análisis de IoC o apunte hacia los puntos suspensivos horizontales y, a continuación, haga clic en Añadir a Análisis de IoC.
Si es necesario, edite el nombre y la descripción de la amenaza. De forma predeterminada, la amenaza se denomina "[Threat Graph] <Nombre de la amenaza de la alerta de EPP>".
Si es necesario, edite los criterios de detección (el operador lógico):
Coincidencia con CUALQUIERA de los elementos siguientes, si desea que se produzca una alerta cuando se encuentra al menos uno de los IOC en un dispositivo (el operador lógico OR).
Coincidencia con TODOS los elementos siguientes, si desea que se produzca una alerta solo cuando se encuentran todos los IOC en un dispositivo simultáneamente (el operador lógico AND).
Si es necesario, edite la lista de IOC. La lista de IOC consta de dos partes:
IoC nuevos
IOC que se toman de la alerta.
IoC previamente añadidos
IOC que se han añadido a la misma amenaza anteriormente (si corresponde).
Si es necesario, elimine cualquiera de los IOC haciendo clic en Eliminar () junto a los mismos.
Haga clic en el botón Analizar para guardar y ejecutar el análisis de IOC.
La configuración del análisis de IOC se modificó. El análisis se ha reiniciado en los dispositivos.
Para evitar la ejecución de un objeto detectado:
Realice una de las siguientes acciones:
[Para una alerta detectada por EPP] En la sección con información detallada sobre un objeto detectado, haga clic en el botón Impedir ejecución o apunte hacia la elipsis horizontal y luego haga clic en Impedir ejecución.
[Para una alerta detectada por el análisis de IOC] En la sección con información detallada sobre un IOC detectado, junto a Respuesta manual, haga clic en Acciones y, a continuación, escoja Impedir ejecución.
Revise las propiedades de la operación planificada: los objetos no deseados cuya ejecución se impedirá y la acción que se tomará al ejecutar o abrir estos objetos.
Haga clic en Confirmar para confirmar la operación.
El objeto detectado se añade a las reglas de prevención de ejecución.
Para enviar la copia de un objeto detectado a Cuarentena y eliminar el objeto:
Realice una de las siguientes acciones:
[Para una alerta detectada por EPP] En la sección con información detallada sobre un objeto detectado, haga clic en el botón Enviar a Cuarentena o apunte hacia la elipsis horizontal y, a continuación, haga clic Enviar a Cuarentena.
[Para una alerta detectada por el análisis de IOC] En la sección con información detallada sobre un IOC detectado, junto a Respuesta manual, haga clic en Acciones y escoja Enviar a Cuarentena.
Revise las propiedades de la operación planificada: el archivo que se enviará a Cuarentena y el dispositivo en el que esto ocurrirá.
Haga clic en Mover para confirmar la operación.
Kaspersky Endpoint Security para Windows crea primero una copia de seguridad del objeto malicioso que se encuentra en el dispositivo, en caso de que sea necesario restaurar el objeto más adelante. La copia de seguridad se envía a Cuarentena. A continuación, Kaspersky Endpoint Security para Windows elimina el objeto.