採取手動回應措施

分析警示詳情時，您可能需要採取手動回應措施，或微調 Endpoint Detection and Response 功能。

您可以採取以下回應措施：

• 將受影響的裝置從網路中隔離。
• 將偵測到威脅的入侵指標 (IoC) 新增至裝置的定期掃描（只適用於 EPP 偵測到的警示）。
• 禁止執行偵測到威脅的物件。
• 將偵測到威脅的物件副本移至隔離區並刪除該物件。

將裝置從網路中隔離的步驟如下：

1. 在關於物件偵測和處理的訊息中，選取省略號，然後點擊「隔離裝置」。
2. 選取所需的隔離時長。
3. 點擊「隔離裝置」按鈕以隔離裝置。

該裝置現已從網路中隔離。

此設定將取代一般隔離設定，並且只套用到目前的裝置。一般隔離設定將維持不變。

將偵測到威脅的 IoC 新增至定期掃描的步驟如下：

1. 在偵測到威脅的物件詳情區域，點擊「新增至 IoC 掃描」按鈕或選取省略號，然後點擊「新增至 IoC 掃描」。
2. 如有必要，請編輯威脅名稱及描述。在預設情況下，威脅的命名格式為「[Threat Graph] <來自 EPP 警示的威脅名稱>」。
3. 如有必要，請編輯偵測條件（邏輯運算子）：
   • 如果您希望在裝置上發現至少一個 IoC 時觸發警示（OR 邏輯運算子），請選取「符合以下任一條件」。
   • 如果您希望只有在裝置上（AND 邏輯運算子）同時發現所有 IoC 時才觸發警示，請選取「符合以下所有條件」。
4. 如有必要，請編輯 IoC 清單。IoC 清單由兩部分組成：
   • 新 IoC

     從警示中取得的 IoC。

   • 先前新增的 IoC

     早前已新增至相同威脅的 IoC（如有）。

5. 如有必要，請點擊 IoC 旁的「刪除」() 圖示以移除相關 IoC。
6. 點擊「執行掃描」按鈕以儲存並執行 IoC 掃描。

IoC 掃描設定現已變更。裝置將重新開始掃描。

阻止執行偵測到威脅的物件的步驟如下：

1. 執行下列任一操作：
   • [對於 EPP 偵測到的警示] 在偵測到威脅的物件詳情區域，點擊「防止執行」按鈕或選取省略號，然後點擊「防止執行」。
   • [對於 IoC 掃描偵測到的警示] 在偵測到威脅的 IoC 詳情區域，點擊「手動回應」旁的「操作」，然後選取「防止執行」。
2. 檢視預定操作的內容：被阻止執行的惡意物件，以及有關物件被執行或開啟時採取的動作。
3. 點擊「確認」以確認操作。

偵測到威脅的物件現已新增至執行防止規則。

將偵測到威脅的物件副本移至隔離區並刪除物件的步驟如下：

1. 執行下列任一操作：
   • [對於 EPP 偵測到的警示] 在偵測到威脅的物件詳情區域，點擊「移動到隔離區」按鈕或選取省略號，然後點擊「移動到隔離區」。
   • [對於 IoC 掃描偵測到的警示] 在偵測到威脅的 IoC 詳情區域，點擊「手動回應」旁的「操作」，然後選取「移動到隔離區」。
2. 檢視預定操作的內容：將移至「隔離區」的檔案，以及將進行此操作的裝置。
3. 點擊「移動」以確認操作。

Kaspersky Endpoint Security for Windows 會對裝置上發現的惡意物件建立備份副本，以備日後需要還原有關物件時使用。備份副本將移至「隔離區」。然後，Kaspersky Endpoint Security for Windows 會刪除該物件。

頁首