При анализе информации об обнаружениях можно вручную выполнять действия по реагированию или настроить функцию Endpoint Detection and Response.
Вы можете выполнить следующие действия по реагированию:
Изолировать затронутое устройство от сети.
Добавьте индикаторы компрометации (IOC) обнаруженной угрозы в регулярный поиск угроз на устройствах (применимо только к обнаружениям, выполняемым EPP).
Запретить запуск обнаруженного объекта.
Поместить копию обнаруженного объекта в Карантин и удалить объект.
Чтобы изолировать устройство от сети, выполните следующие действия:
В сообщении об обнаружении и обработке объекта наведите указатель на три точки по горизонтали, а затем нажмите Изолировать устройство.
Выберите продолжительность изоляции.
Нажмите на кнопку Изолировать устройство, чтобы изолировать устройство.
Устройство будет изолировано от сети.
Этот параметр переопределяет общие параметры изоляции и применяется только к текущему устройству. Общие параметры изоляции не изменятся.
Чтобы добавить индикаторы компрометации обнаруженной угрозы в обычный поиск угроз, выполните следующие действия:
В разделе с подробной информацией об обнаруженном объекте нажмите на кнопку Добавить в Поиск IOC или наведите указатель на три точки по горизонтали, а затем нажмите Добавить в Поиск IOC.
При необходимости измените имя и описание угрозы. По умолчанию угрозе присваивается имя "[Threat Graph]<Имя угрозы из обнаружения EPP>".
При необходимости измените критерий обнаружения (логический оператор):
Совпадение с ЛЮБЫМ из следующих, чтобы обнаружение возникало, если на устройстве найден хотя бы один индикатор компрометации (логический оператор ИЛИ).
Совпадение со ВСЕМИ следующими, чтобы обнаружение возникало, если на устройстве найдены одновременно все индикаторы компрометации (логический оператор И).
При необходимости измените список IOC. Список IOC состоит из двух частей:
Новые IOC
IOC, полученные из обнаружения
Ранее добавленные IOC
IOC, добавленные к этой угрозе ранее (если есть).
При необходимости удалите любой IOC по значку Удалить () рядом с ним.
Нажмите на кнопку Запустить поиск, чтобы сохранить изменения и запустить поиск IOC.
Параметры Поиска IOC изменены. Поиск IOC на устройствах будет перезапущен.
Чтобы запретить выполнение обнаруженного объекта:
Выполните одно из следующих действий:
[Для обнаружений, выполненных EPP] В разделе с подробной информацией об обнаруженном объекте нажмите на кнопку Запретить запуск, или наведите указатель на три точки по горизонтали, а затем нажмите Запретить запуск.
[Для обнаружений в результате поиска IOC] В разделе с подробной информацией об обнаруженном IOC рядом с пунктом Реагирование вручную нажмите Действия и выберите Запретить запуск.
Просмотрите параметры запланированного действия: нежелательные объекты, запуск которых будет запрещен, и действие, которое будет выполнено при запуске или открытии этих объектов.
Нажмите Подтвердить, чтобы подтвердить выполняемое действие.
Обнаруженный объект будет добавлен в правила запрета запуска.
Чтобы поместить копию обнаруженного объекта в Карантин и удалить объект:
Выполните одно из следующих действий:
[Для обнаружений, выполненных EPP] В разделе с подробной информацией об обнаруженном объекте нажмите на кнопку Поместить на карантин, или наведите указатель на три точки по горизонтали, а затем нажмите Поместить на карантин.
[Для обнаружений в результате поиска IOC] В разделе с подробной информацией об обнаруженном IOC рядом с пунктом Реагирование вручную нажмите Действия и выберите Поместить на карантин.
Просмотрите параметры запланированного действия: файл, который будет перемещен в Карантин, и устройство, на котором это произойдет.
Нажмите Переместить, чтобы подтвердить выполняемое действие.
Kaspersky Endpoint Security для Windows сначала создает резервную копию вредоносного объекта, обнаруженного на устройстве, на случай, если впоследствии объект потребуется восстановить. Резервная копия перемещается в карантин. Затем Kaspersky Endpoint Security для Windows удаляет объект.