采取手动响应措施

在分析警报详情时，您可能需要采取手动响应措施或微调 Endpoint Detection and Response 功能。

您可以采取以下响应措施：

• 将受影响设备与网络隔离。
• 将检测到的威胁的入侵指标 (IoC) 添加至设备的定期威胁扫描中（仅适用于 EPP 检测到的警报）。
• 阻止执行检测到的对象。
• 将检测到的对象的副本移动到隔离区并删除该对象。

要将设备与网络隔离：

1. 在有关对象检测和处理的消息中，单击水平省略号，然后单击“隔离设备”。
2. 选择所需的隔离持续时间。
3. 单击“隔离设备”按钮以隔离该设备。

该设备将与网络隔离。

此设置将覆盖常规隔离设置，并且仅应用于当前设备。常规隔离设置不会改变。

要将检测到的威胁的 IoC 添加至定期威胁扫描：

1. 在检测到的对象的详情部分，单击“添加至 IoC 扫描”按钮，或单击水平省略号，然后单击“添加至 IoC 扫描”。
2. 如有必要，编辑威胁名称和描述。默认情况下，威胁被命名为“[Threat Graph] <EPP 警报的威胁名称>”。
3. 如有必要，编辑检测条件（逻辑运算符）：
   • 如果您希望在设备上发现至少一个 IoC 时触发警报（OR 逻辑运算符），请选择“符合以下任一标准”。
   • 如果您希望仅当在设备上同时找到所有 IoC 时才触发警报（AND 逻辑运算符），符合以下所有标准。
4. 如有必要，编辑 IoC 列表。IoC 列表由两个部分组成：
   • 新 IoC

     从警报中获取的 IoC。

   • 之前添加的 IoC

     之前已添加到同一威胁的 IoC（如有）。

5. 如有必要，可以单击任意 IoC 旁边的“删除”() 图标来将其删除。
6. 单击“运行扫描”按钮以保存并运行 IoC 扫描。

IoC 扫描设置已更改。设备已重新开始扫描。

要防止执行检测到的对象：

1. 执行下列任一操作：
   • [对于 EPP 检测到的警报] 在检测到的对象的详情部分，单击“防止执行”按钮，或单击水平省略号，然后单击“防止执行”。
   • [对于 IoC 扫描检测到的警报] 在检测到的 IoC 的详情部分，单击“手动响应”旁边的“操作”，然后选择“防止执行”。
2. 检查计划操作的属性：将被阻止执行的不需要的对象以及执行或打开这些对象时将采取的操作。
3. 单击“确认”以确认操作。

检测到的对象被添加至执行防护规则。

要将检测到的对象的副本移动到隔离区并删除该对象：

1. 执行下列任一操作：
   • [对于 EPP 检测到的警报] 在检测到的对象的详情部分，单击“移动到隔离区”按钮，或单击水平省略号，然后单击“移动到隔离区”。
   • [对于 IoC 扫描检测到的警报] 在检测到的 IoC 的详情部分，单击“手动响应”旁边的“操作”，然后选择“移动到隔离区”。
2. 检查计划操作的属性：将移动到隔离区的文件以及执行此操作的设备。
3. 单击“移动”以确认操作。

Kaspersky Endpoint Security for Windows 首先会创建在设备上发现的恶意对象的备份副本，以防之后需要恢复该对象。备份副本将移动到隔离区。然后，Kaspersky Endpoint Security for Windows 会删除该对象。

页面顶部