Перемещение файлов на карантин

Для того чтобы предотвратить распространение угрозы, вы можете переместить зараженный файл на карантин одним из следующих способов:

• из деталей алерта или инцидента;
• из свойств устройства;
• из телеметрии события;
• из графа расследования.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы переместить файл на карантин, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Аналитик 1-го уровня, Аналитик 2-го уровня.

Запуск действия по реагированию может занять до 15 минут из-за интервала синхронизации между управляемым устройством и Сервером администрирования.

Реагирование из деталей алерта или инцидента

Чтобы переместить файл на карантин из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство с файлом, который нужно переместить на карантин.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство с файлом, который нужно переместить на карантин.
2. В открывшемся окне выберите вкладку Активы.
3. Установите флажок рядом с устройством с файлом, который нужно переместить на карантин.

   При необходимости вы можете выбрать несколько устройств.

4. В раскрывающемся списке Выбрать действия по реагированию выберите Поместить на карантин.
5. В открывшемся окне в правой части экрана укажите следующую информацию в соответствующих полях:
   • Хеш файла.

     Вы можете выбрать SHA256 или MD5.

   • Путь к файлу.
6. Нажмите на кнопку Переместить.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из сведений об устройстве

Чтобы переместить файл на карантин из сведений об устройстве:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство с файлом, который нужно переместить на карантин.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство с файлом, который нужно переместить на карантин.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.
4. В раскрывающемся списке Выбрать действия по реагированию выберите Поместить на карантин.
5. В открывшемся окне в правой части экрана укажите следующую информацию в соответствующих полях:
   • Хеш файла.

     Вы можете выбрать SHA256 или MD5.

   • Путь к файлу.
6. Нажмите на кнопку Переместить.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из телеметрии события

Чтобы переместить файл на карантин из телеметрии события:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство с файлом, который нужно переместить на карантин.
2. В открывшемся окне выберите вкладку Подробнее и выполните одно из следующих действий:
   • Нажмите на название нужного события и выберите устройство.
   • Нажмите на кнопку Поиск угроз, чтобы перейти в раздел Поиск угроз и выберите нужное устройство.

   Вы также можете выбрать вкладку Наблюдаемые объекты, установить флажок рядом с файлом, который вы хотите переместить на карантин, и нажать на кнопку Переместить на карантин.

3. В раскрывающемся списке Выбрать действия по реагированию выберите Поместить на карантин.
4. В открывшемся окне в правой части экрана укажите следующую информацию в соответствующих полях:
   • Хеш файла.

     Вы можете выбрать SHA256 или MD5.

   • Путь к файлу.
5. Нажмите на кнопку Переместить.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из графа расследования

Этот параметр доступен, если граф расследования построен.

Чтобы переместить файл на карантин из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство с файлом, который нужно переместить на карантин.
2. В открывшемся окне нажмите на кнопку Посмотреть на графе.

   Откроется окно графа расследования.

3. Нажмите на имя устройства, чтобы открыть сведения об устройстве.
4. В раскрывающемся списке Выбрать действия по реагированию выберите Поместить на карантин.
5. В открывшемся окне в правой части экрана укажите следующую информацию в соответствующих полях:
   • Хеш файла.

     Вы можете выбрать SHA256 или MD5.

   • Путь к файлу.
6. Нажмите на кнопку Переместить.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

В начало