Прерывание процессов

Действие по реагированию Прервать процесс позволяет удаленно завершать процессы на устройствах. Вы можете выполнить действие по реагированию Прервать процесс для наблюдаемых объектов или активов.

Вы можете запустить действие по реагированию Прервать процесс одним из следующих способов:

• Из деталей алерта или инцидента.
• Из сведений об устройстве.
• Из телеметрии события.

  Вы можете открыть информацию о событии в деталях алерта или инцидента или в разделе Поиск угроз.

• Из графа расследования.

  Параметр доступен, если граф расследования построен.

• Из таблицы активов.
• Из раздела История реагирований.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы выполнить действие по реагированию Прервать процесс, вам должна быть присвоена одна из следующих XDR-ролей: Главный администратор, Аналитик 1-го уровня, Аналитик 2-го уровня, Администратор тенанта.

Запуск действия по реагированию может занять до 15 минут из-за интервала синхронизации между управляемым устройством и Сервером администрирования.

Реагирование из деталей алерта или инцидента

Чтобы завершить процесс из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором алерта.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором инцидента.
2. В открывшемся окне выберите вкладку Активы.

   Вы также можете перейти на вкладку Наблюдаемые объекты, выбрать один или несколько наблюдаемых объектов, для которых вы хотите прервать процесс. Наблюдаемые объекты могут включать хеши MD5 или SHA256.

3. В списке активов выберите одно или несколько устройств.
4. В раскрывающемся списке Выбор действий по реагированию выберите Прервать процесс.
5. В открывшейся панели справа выполните следующие действия:
   1. В поле Полный путьПолный путь
   2. В раскрывающемся списке Активы выберите устройства, для которых вы хотите завершить процесс.

      Если на шаге 2 вы выбрали вкладку Активы, имена устройств, для которых вы установили флажки, по умолчанию указываются в поле Активы. Вы можете изменить их или выбрать вариант Все активы в раскрывающемся списке Область действия для завершения процесса на всех устройствах, принадлежащих тенанту алерта или инцидента и его дочерним тенантам.

      Для выбора доступны только те активы, с которыми вы можете выполнить действие по реагированию.
      Устройства отображаются следующим образом: устройства, относящиеся к алерту или инциденту, помещаются в начало раскрывающего списка, затем в алфавитном порядке отображаются устройства, принадлежащие тенанту алерта или инцидента, а также дочерним тенантам.

   3. При необходимости настройте следующие параметры в соответствующих полях:
      • Укажите SHA256 или хеш MD5 файла процесса.

        Если на шаге 2 вы выбрали вкладку Наблюдаемые объекты, выбранные вами хеши будут указаны по умолчанию. Вы можете их изменить.

      • Напишите описание или комментарий к действию по реагированию.
6. Нажмите на кнопку Прервать.

Процесс прерван. Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из сведений об устройстве

Чтобы завершить процесс с помощью сведений устройства:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство с файлом, который нужно переместить на карантин.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство с файлом, который нужно переместить на карантин.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.
4. Выполните действия, которые описаны в пунктах 4–6 процедуры Реагирование из деталей алерта или инцидента.

Процесс прерван. Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из телеметрии события

Чтобы завершить процесс из телеметрии события при его открытии из деталей алерта или инцидента:

1. В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство с файлом, который нужно переместить на карантин.
2. В открывшемся окне выберите вкладку Подробнее и выполните одно из следующих действий:
   • Нажмите на название нужного события и выберите устройство.
   • Нажмите на кнопку Искать в разделе "Поиск угроз", чтобы перейти в раздел Поиск угроз и выберите нужное устройство.

     Вы также можете перейти на вкладку Наблюдаемые объекты, выбрать один или несколько наблюдаемых объектов, для которых вы хотите прервать процесс. Наблюдаемые объекты могут включать хеши MD5 или SHA256.

3. В раскрывающемся списке Выбор действий по реагированию выберите Прервать процесс.
4. Выполните действия, которые описаны в пунктах 4–6 процедуры Реагирование из деталей алерта или инцидента.

Процесс прерван. Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Чтобы выполнить действие по реагированию из телеметрии события при его открытии из раздела Поиск угроз:

1. В главном окне приложения перейдите в раздел Мониторинг → Поиск угроз.

   Откроется таблица событий.

2. Нажмите на имя события, сведения которого вы хотите открыть.
3. В открывшемся окне со сведениями о событии нажмите на имя устройства, а затем в раскрывающемся списке выберите Прервать процесс.
4. В открывшейся панели справа настройте параметры действий по реагированию, которые описаны в пунктах 5–6 процедуры Реагирование из деталей алерта или инцидента.

Процесс прерван. Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из графа расследования

Параметр доступен, если граф расследования построен.

Чтобы завершить процесс из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором инцидента.
2. В открывшемся окне Детали инцидента нажмите на кнопку Посмотреть на графе.

   Откроется окно графа расследования.

3. Нажмите на имя нужного устройства и в раскрывающемся списке выберите Просмотреть информацию.
4. Выполните действия, которые описаны в пунктах 4–6 процедуры Реагирование из деталей алерта или инцидента.

Процесс прерван. Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Действия по реагированию из таблицы активов

Чтобы выполнить действие по реагированию из таблицы активов:

1. В главном окне приложения перейдите в раздел Управление активами → Активы (Устройства).

   Откроется таблица активов.

2. Установите флажок рядом с устройством, для которого вы хотите выполнить действие по реагированию.

   Вы можете выбрать несколько устройств.

   Архивированные устройства выбрать невозможно.

3. В раскрывающемся списке Выбор действий по реагированию выберите Прервать процесс.
4. В открывшейся панели справа настройте параметры действий по реагированию, которые описаны в пунктах 5–6 процедуры Реагирование из деталей алерта или инцидента.

Процесс прерван. Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из раздела История реагирований

Чтобы выполнить действие по реагированию из раздела История реагирований:

1. В главном окне приложения перейдите в раздел Мониторинг → История реагирований.

   Откроется таблица с историей реагирования на все алерты и инциденты.

2. В раскрывающемся списке Действие по реагированию выберите Прервать процесс.
3. В открывшейся панели справа настройте параметры действий по реагированию, которые описаны в пунктах 5–6 процедуры Реагирование из деталей алерта или инцидента.

Процесс прерван. Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Просмотр результата действия по реагированию

Вы можете просмотреть результаты выполнения действий по реагированию одним из следующих способов:

• В главном меню в разделе История реагирований.
• На вкладке История в деталях алерта или инцидента.

После того как вы перейдете по ссылке в столбце Статус действия, откроется окно с выбранной вкладкой Результат. Если действие по реагированию выполнено успешно, отобразится сообщение Успешно. Иначе отобразится сообщение об ошибке с информацией о причине.

Если вы хотите просмотреть идентификатор запуска и JSON с результатом действия реагирования, перейдите на вкладку Отладка данных.

В начало