採取手動響應措施
分析警示詳情時,您可能需要採取手動響應措施或微調端點檢測和響應功能。
您可以採取以下響應措施:
- 將受影響的裝置與網絡隔離。
- 將偵測到威脅的入侵指標 (IoC) 新增至裝置威脅的定期掃描中(只適用於 EPP 偵測到的警示)。
- 禁止執行偵測到威脅的物件。
- 將偵測到威脅的物件副本移至隔離區並刪除該物件。
將裝置從網絡隔離的步驟如下:
- 在「物件偵測和處理訊息」中,點選水平省略號,然後點擊「隔離裝置」。
- 選擇所需的隔離時間。
- 點擊「隔離裝置」按鈕以隔離裝置。
該裝置現已從網絡隔離。
此設定將取代常規隔離設定,並只套用到目前的裝置。一般隔離設定將維持不變。
將偵測到威脅的 IoC 新增至定期威脅掃描的步驟如下:
- 在偵測到威脅的物件詳細資料部分,點擊「新增至 IoC 掃描」按鈕或點選水平省略號,然後點擊「新增至 IoC 掃描」。
- 如有必要,請編輯威脅名稱和說明。在預設情況下,威脅將命名為「
[Threat Graph]
<Threat name from the EPP alert>
」。 - 如有必要,請編輯偵測標準(邏輯運算子):
- 如果您希望在裝置(或邏輯運算子)找到至少一個 IoC 時收到警示,請選擇「符合以下任何一項」。
- 如果您只希望在裝置(及邏輯運算子)找到所有 IoC 時才收到警示,請選擇「符合以下所有條件」。
- 如有必要,請編輯 IoC 列表。IoC 列表由兩部分組成:
- 新 IoC
從警示中取得的 IoC。
- 早前新增的 IoC
早前已新增至相同威脅的 IoC(如有)。
- 如有必要,請點擊 IoC 旁的「刪除」() 圖示以移除相關 IoC。
- 點擊「執行掃描」按鈕以儲存並執行 IoC 掃描。
IoC 掃描設定現已變更。裝置將重新開始掃描。
阻止執行偵測到警示的物件的步驟如下:
- 執行下列其中一項操作:
- [對於 EPP 偵測到的警示] 在偵測到警示的物件詳細資料部分,點擊「防止執行」按鈕或點選水平省略號,然後點擊「防止執行」。
- [對於 IoC 掃描偵測到的警示] 在偵測到警示的 IoC 詳細資料部分,點擊「人工響應」旁的「操作」,然後選擇「防止執行」。
- 檢查計劃操作的屬性:將阻止執行的不需要物件,以及執行或開啟這些物件時將採取的操作。
- 點擊「確認」以確認操作。
偵測到警示的物件現已新增至執行防止規則。
將偵測到警示的物件副本移至隔離區並刪除有關物件的步驟如下:
- 執行下列其中一項操作:
- [對於 EPP 偵測到的警示] 在偵測到警示的物件詳細資料部分,點擊「移至隔離區」按鈕或點選水平省略號,然後點擊「移至隔離區」。
- [對於 IoC 掃描偵測到的警示] 在偵測到警示的 IoC 詳細資料部分,點擊「人工響應」旁的「操作」,然後選擇「移至隔離區」。
- 查看計劃操作的屬性:將移動到「隔離」的檔案,以及將進行此操作的裝置。
- 點擊「移動」以確認操作。
Kaspersky Endpoint Security for Windows 會對裝置上發現的惡意物件建立備份副本,以備日後需要恢復有關物件時使用。備份副本將移至「隔離」。然後,Kaspersky Endpoint Security for Windows 會刪除有關物件。
頁首