進行 IoC 掃描設定

您可以在裝置上設定定期掃描威脅時，就掃描作出下列設定：排程、範圍和自動回應動作。

定義 IoC 掃描設定的步驟如下：

1. 開啟 Kaspersky Next 管理主控台。
2. 選取「安全管理」→「Endpoint Detection and Response」區域。
3. 點擊「IoC 掃描」按鈕。
4. 在相應掃描的區塊上，選取垂直省略號，然後點擊「定義掃描設定」。

   「掃描設定」視窗隨即開啟。

5. 在「排程」清單中選取所需選項：
   • 未指定（預設）

     IoC 掃描不會執行。

   • 每天

     指定須執行 IoC 掃描的時間。

   • 每週

     指定每週中須執行 IoC 掃描的週間日和時間。

   「自訂掃描」將在 UTC±00:00 時區的指定時間執行。「主動掃描」和「反應性掃描」將在裝置作業系統時區的指定時間執行。如果受保護裝置在預定時間處於離線狀態，將在裝置連線後立即執行工作。

6. 在「掃描範圍」部分，點擊「編輯」的連結，以指定須執行 IoC 掃描的裝置清單。

   選取相應裝置旁的核取方塊，並取消選取需排除的裝置旁的核取方塊。點擊「儲存」以儲存變更。

   此設定僅適用於「自訂掃描」。其他掃描（「主動掃描」與「反應性掃描」）的範圍涵蓋所有使用者的 Windows 裝置，而且無法修改。

   往後新增的所有裝置都會自動納入掃描範圍。因此，如果您想將這些裝置排除在自訂掃描範圍之外，則必須手動執行操作。

7. 在「回應行動」下，請選取在偵測到指定威脅時要採取的回應動作：
   • 僅警示

     系統會將偵測到威脅的事件加入事件記錄，不會採取其他動作。

   • 警示並回應

     系統會將偵測到威脅的事件加入事件記錄，此外，還會採取選定的回應動作：

     • 執行關鍵區域掃描

       Kaspersky Endpoint Security for Windows 會掃描受影響裝置的核心記憶體、正在執行的處理程序及磁碟開機磁區。

     • 將副本移至隔離區並刪除物件

       Kaspersky Endpoint Security for Windows 會對裝置上發現的惡意物件建立備份副本，以備日後需要還原有關物件時使用。備份副本將移至「隔離區」。然後，Kaspersky Endpoint Security for Windows 會刪除該物件。

     • 從網路中隔離裝置

       Kaspersky Endpoint Security for Windows 會將裝置從網路中隔離，以防止威脅傳播或敏感資訊外洩。如要設定隔離時長，請點擊「設定」，然後選取所需數值。

       三項 IoC 掃描的隔離時長相同。如果您更改一項掃描設定的值，有關變更將套用至其他掃描。
       除此之外，您也可以在「安全管理」→「Endpoint Detection and Response」區域，點擊「回應設定」→「網路隔離」，以設定隔離時長。

8. 點擊「儲存」以儲存變更。

所選 IoC 掃描的設定現已完成。

頁首