Перемещение файлов на карантин

Чтобы предотвратить распространение угрозы, вы можете переместить устройство, на котором находится файл, на карантин одним из следующих способов:

• в сведениях об обнаружении или инциденте;
• из сведений об устройстве;
• из телеметрии события;
• с графа расследования.

  Этот параметр доступен, если граф расследования построен.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы переместить устройство, на котором находится файл, на карантин, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Запуск действия по реагированию может занять до 15 минут из-за интервала синхронизации между управляемым устройством и Сервером администрирования.

Чтобы переместить устройство на карантин:

1. В главном меню перейдите в раздел Мониторинг и отчеты, выберите раздел Обнаружения или Инциденты.

   Если вы хотите выполнить действие по реагированию из графа расследования, выберите раздел Инциденты.

   Если вы хотите выполнить действие по реагированию из телеметрии события, выберите раздел Обнаружения.

2. Нажмите на идентификатор нужного обнаружения или инцидента.
3. В открывшемся окне выполните одно из следующих действий:
   • Если вы хотите выполнить действие по реагированию с помощью сведений об обнаружении или инциденте, перейдите на вкладку Активы и установите флажок рядом с устройством, которое нужно переместить на карантин.

     При необходимости вы можете выбрать несколько устройств.

   • Если вы хотите выполнить действие по реагированию с помощью сведений об устройстве, перейдите на вкладку Активы, нажмите на имя нужного устройства, а затем в раскрывающемся списке выберите Просмотреть свойства.
   • Если вы хотите выполнить действие по реагированию с помощью события телеметрии, перейдите на вкладку Подробнее, а затем либо нажмите на имя требуемого события и выберите устройство, либо нажмите на кнопку Поиск угроз, чтобы перейти в раздел Поиск угроз и выбрать требуемое устройство.

     Вы также можете перейдите на вкладку Наблюдаемые объекты, установить флажок рядом с файлом, который вы хотите переместить на карантин, и нажать на кнопку Переместить на карантин.

   • Если вы хотите выполнить действие по реагированию с помощью графа расследования, нажмите на кнопку Посмотреть на графе. В открывшемся графе расследования нажмите на имя устройства, чтобы открыть сведения об устройстве.
4. В раскрывающемся списке Выбрать действия по реагированию выберите Поместить на карантин.
5. В открывшемся окне в правой части экрана укажите следующую информацию в соответствующих полях:
   • Хеш файла.

     Вы можете выбрать SHA-256 или MD5.

   • Путь к файлу.
6. Нажмите на кнопку Переместить.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

В начало