Adopción de medidas de respuesta manual
Cuando analice los detalles de la alerta, es posible que desee tomar medidas de respuesta manual o ajustar la función de Endpoint Detection and Response.
Puede tomar las siguientes medidas de respuesta:
- Aísle el dispositivo afectado de la red.
- Agregue los incidentes de vulneración (IoC) de la amenaza detectada a un análisis regular para detectar amenazas en los dispositivos (solo se aplica a las alertas detectadas por EPP).
- Evite ejecutar el objeto detectado.
- Envíe la copia del objeto detectado a Cuarentena y elimine el objeto.
Para aislar un dispositivo de la red, haga lo siguiente:
- En el mensaje sobre la detección y el procesamiento de objetos, seleccione los puntos suspensivos horizontales y haga clic en Aislar dispositivo.
- Seleccione la duración de aislamiento requerida.
- Haga clic en el botón Aislar dispositivo para aislar el dispositivo.
El dispositivo se aísla de la red.
Esta configuración anula la configuración de aislamiento general y se aplica solo al dispositivo actual. La configuración de aislamiento general no se cambia.
Para agregar los IoC de una amenaza detectada a un análisis regular a fin de detectar amenazas, haga lo siguiente:
- En la sección con información detallada sobre un objeto detectado, haga clic en el botón Agregar a Análisis de IOC o seleccione los puntos suspensivos horizontales y, a continuación, haga clic en Agregar a Análisis de IOC.
- Si es necesario, edite el nombre y la descripción de la amenaza. De forma predeterminada, la amenaza se denomina "
[Threat Graph]
<Nombre de la amenaza de la alerta de EPP>
". - Si es necesario, edite los criterios de detección (el operador lógico):
- Coincidencia con CUALQUIERA de los siguientes elementos, si desea que se produzca una alerta cuando se encuentra al menos uno de los IoC en un dispositivo (el operador lógico OR).
- Coincidencia con TODOS los siguientes elementos, si desea que se produzca una alerta solo cuando se encuentran todos los IoC en un dispositivo simultáneamente (el operador lógico AND).
- Si es necesario, edite la lista de IoC. La lista de IoC consta de dos partes:
- Si es necesario, elimine cualquier IoC. Para ello, haga clic en el ícono Eliminar (), que se encuentra junto al IoC.
- Haga clic en el botón Analizar para guardar y ejecutar el análisis de IoC.
Se cambia la configuración del análisis de IoC. El análisis se reinicia en los dispositivos.
Para evitar la ejecución de un objeto detectado, haga lo siguiente:
- Realice alguna de las siguientes acciones:
- [Para una alerta detectada por EPP] En la sección con información detallada sobre un objeto detectado, haga clic en el botón Impedir ejecución o seleccione los puntos suspensivos horizontales y haga clic en Impedir ejecución.
- [Para una alerta detectada por el análisis de IoC] En la sección con información detallada sobre un IoC detectado, junto a Respuesta manual, haga clic en Acciones y, a continuación, seleccione Impedir ejecución.
- Revise las propiedades de la operación planificada: los objetos no deseados cuya ejecución se impedirá y la acción que se tomará al ejecutar o abrir estos objetos.
- Haga clic en Confirmar para confirmar la operación.
El objeto detectado se agrega a las reglas de prevención de ejecución.
Para enviar la copia de un objeto detectado a Cuarentena y eliminar el objeto, haga lo siguiente:
- Realice alguna de las siguientes acciones:
- [Para una alerta detectada por EPP] En la sección con información detallada sobre un objeto detectado, haga clic en el botón Enviar a Cuarentena o seleccione los puntos suspensivos horizontales y haga clic en Enviar a Cuarentena.
- [Para una alerta detectada por el análisis de IoC] En la sección con información detallada sobre un IoC detectado, junto a Respuesta manual, haga clic en Acciones y, a continuación, seleccione Enviar a Cuarentena.
- Revise las propiedades de la operación planificada: el archivo que se enviará a Cuarentena y el dispositivo en el que esto ocurrirá.
- Haga clic en Mover para confirmar la operación.
Kaspersky Endpoint Security para Windows primero crea una copia de seguridad del objeto malicioso que se encontró en el dispositivo, en caso de que sea necesario restaurar el objeto más adelante. La copia de seguridad se envía a Cuarentena. Luego, Kaspersky Endpoint Security para Windows elimina el objeto.
Principio de página