Lors de l'analyse des détails de l'alerte, vous souhaiterez peut-être adopter des réponses manuelles ou procéder au réglage fin de la fonctionnalité Endpoint Detection and Response.
Vous pouvez adopter les réponses suivantes :
Isoler l'appareil concerné du réseau.
Ajoutez les indicateurs de compromission (IoC) de la menace détectée à une analyse régulière de recherche de menaces sur les appareils (applicable uniquement aux alertes détectées par EPP).
Empêcher l'exécution de l'objet détecté.
Déplacez la copie de l'objet détecté en quarantaine et supprimez l'objet.
Pour isoler l'appareil du réseau :
Dans le message relatif à la détection et au traitement des objets, amenez le curseur sur les points de suspension horizontaux, puis cliquez sur Isoler l'appareil.
Sélectionnez la durée d'isolement requise.
Cliquez sur le bouton Isoler l'appareil pour isoler l'appareil.
L'appareil est isolé du réseau.
Ce paramètre remplace les paramètres d'isolement généraux et s'applique uniquement à l'appareil actif. Les paramètres d'isolement généraux ne sont pas modifiés.
Pour ajouter les IoC d'une menace détectée à une analyse régulière des menaces :
Dans la section contenant des informations détaillées sur un objet détecté, cliquez sur le bouton Ajouter à l'analyse IoC ou placez le curseur sur les points de suspension horizontaux, puis cliquez sur Ajouter à l'analyse IoC.
Si nécessaire, modifiez le nom et la description de la menace. Par défaut, la menace est nommée "[Threat Graph]<Nom de la menace issue de l'alerte EPP>".
Si nécessaire, modifiez les critères de détection (l'opérateur logique) :
Correspondance à N'IMPORTE LEQUEL des éléments suivants si vous souhaitez qu'une alerte se déclenche quand au moins un des IoC est détecté sur un appareil (opérateur logique OU).
Correspondance à TOUS les éléments suivants si vous souhaitez qu'une alerte se déclenche uniquement quand tous les IoC sont détectés sur un appareil (opérateur logique ET).
Au besoin, modifier la liste des IoC. La liste des IoC comporte deux parties :
Nouveaux IoC
IoC qui sont tirés de l'alerte.
IoC ajoutés antérieurement
IoC qui ont été ajoutés à la même menace plus tôt (le cas échéant).
Si nécessaire, supprimez n'importe quel IoC en cliquant sur le bouton Supprimer () situé à son côté.
Cliquez sur le bouton Analyser pour enregistrer et exécuter l'analyse IoC.
Les paramètres d'analyse IoC sont modifiés. L'analyse a redémarré sur les appareils.
Pour empêcher l'exécution d'un objet détecté :
Exécutez une des actions suivantes :
[Pour une alerte détectée par EPP] Dans la section contenant les détails relatifs à l'objet détecté, cliquez sur le bouton Empêcher l'exécution ou placez le curseur sur les points de suspension horizontaux, puis cliquez sur Empêcher l'exécution.
[Pour une alerte détectée par analyse IoC] Dans la section contenant des informations détaillées sur un IoC détecté, à côté de Réaction manuelle, cliquez sur Actions, puis sélectionnez Empêcher l'exécution.
Passez en revue les propriétés de l'opération planifiée : les objets indésirables dont l'exécution sera empêchée et l'action qui sera réalisée lors de l'exécution ou de l'ouverture de ces objets.
Cliquez sur Confirmer pour confirmer l'opération.
L'objet détecté est ajouté aux règles de prévention de l'exécution.
Pour déplacer la copie d'un objet détecté en quarantaine et supprimez l'objet :
Exécutez une des actions suivantes :
[Pour une alerte détectée par EPP] Dans la section contenant les détails relatifs à l'objet détecté, cliquez sur le bouton Mettre en quarantaine ou placez le curseur sur les points de suspension horizontaux, puis cliquez sur Mettre en quarantaine.
[Pour une alerte détectée par analyse IoC] Dans la section contenant des informations détaillées sur un IoC détecté, à côté de Réaction manuelle, cliquez sur Actions, puis sélectionnez Mettre en quarantaine.
Passez en revue les propriétés de l'opération planifiée : le fichier qui va être mis en quarantaine et l'appareil sur lequel cette action va avoir lieu.
Cliquez sur Déplacer pour confirmer l'opération.
Kaspersky Endpoint Security for Windows crée d'abord une copie de sauvegarde de l'objet malveillant détecté sur l'appareil, au cas où l'objet devrait être restauré ultérieurement. La copie de sauvegarde est placée en quarantaine. Ensuite, Kaspersky Endpoint Security for Windows supprime l'objet.