Перемещение файлов на карантин

Для того чтобы предотвратить распространение угрозы, вы можете переместить зараженный файл на карантин одним из следующих способов:

• Из деталей алерта или инцидента.
• Из сведений об устройстве.
• Из телеметрии события.

  Вы можете открыть информацию о событии в деталях алерта или инцидента или в разделе Поиск угроз.

• Из графа расследования.
• Из таблицы активов.
• Из раздела История реагирований.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы переместить файл на карантин, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Аналитик 1-го уровня, Аналитик 2-го уровня.

Запуск действия по реагированию может занять до 15 минут из-за интервала синхронизации между управляемым устройством и Сервером администрирования.

Реагирование из деталей алерта или инцидента

Чтобы переместить файл на карантин из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство с файлом, который нужно переместить на карантин.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство с файлом, который нужно переместить на карантин.
2. В открывшемся окне выберите вкладку Активы.

   Вы также можете выбрать вкладку Наблюдаемые объекты, установить флажок рядом с файлом, который вы хотите переместить на карантин, и нажать на кнопку Переместить на карантин.

3. Установите флажок рядом с устройством с файлом, который нужно переместить на карантин.

   При необходимости вы можете выбрать несколько устройств.

4. В раскрывающемся списке Выбор действий по реагированию выберите Поместить на карантин.
5. В открывшейся панели справа выполните следующие действия:
   1. В поле Полный путь укажите полный путь к файлу, который вы хотите поместить на карантин.
   2. В поле Активы выберите устройства с файлами, которые нужно переместить на карантин.

      Если на шаге 2 вы выбрали вкладку Активы, имена устройств, для которых вы установили флажки, по умолчанию указываются в поле Активы. Вы можете изменить их и указать устройства, которые не связаны с алертом или инцидентом, но принадлежат тенанту алерта или инцидента и его дочерним тенантам.

      Для выбора доступны только те активы, с которыми вы можете выполнить действие по реагированию.
      Устройства отображаются следующим образом: устройства, относящиеся к алерту или инциденту, помещаются в начало раскрывающего списка, затем в алфавитном порядке отображаются устройства, принадлежащие тенанту алерта или инцидента, а также дочерним тенантам.

   3. При необходимости настройте следующие параметры в соответствующих полях:
      • Укажите SHA256 или хеш MD5 файла.

        Если на шаге 2 вы выбрали вкладку Наблюдаемые объекты, хеш будет указан. При необходимости значение можно изменить.

      • Напишите описание или комментарий к действию по реагированию.
6. Нажмите на кнопку Переместить.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Файл удаляется из директории устройства, на котором он находится, и перемещается на карантин на том же устройстве. Иначе отображается сообщение об ошибке.

Реагирование из сведений об устройстве

Чтобы переместить файл на карантин из сведений об устройстве:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство с файлом, который нужно переместить на карантин.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство с файлом, который нужно переместить на карантин.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.
4. Выполните действия, которые описаны в пунктах 4–6 процедуры Реагирование из деталей алерта или инцидента.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Файл удаляется из директории устройства, на котором он находится, и перемещается на карантин на том же устройстве. Иначе отображается сообщение об ошибке.

Реагирование из телеметрии события

Чтобы переместить файл на карантин из телеметрии события при его открытии из деталей алерта или инцидента:

1. В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство с файлом, который нужно переместить на карантин.
2. В открывшемся окне выберите вкладку Подробнее и выполните одно из следующих действий:
   • Нажмите на название нужного события и выберите устройство.
   • Нажмите на кнопку Поиск угроз, чтобы перейти в раздел Поиск угроз и выберите нужное устройство.

     Вы также можете выбрать вкладку Наблюдаемые объекты, установить флажок рядом с файлом, который вы хотите переместить на карантин, и нажать на кнопку Переместить на карантин.

3. В раскрывающемся списке Выбор действий по реагированию выберите Поместить на карантин.
4. Выполните действия, которые описаны в пунктах 4–6 процедуры Реагирование из деталей алерта или инцидента.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Файл удаляется из директории устройства, на котором он находится, и перемещается на карантин на том же устройстве. Иначе отображается сообщение об ошибке.

Чтобы выполнить действие по реагированию из телеметрии события при его открытии из раздела Поиск угроз:

1. В главном окне приложения перейдите в раздел Мониторинг → Поиск угроз.

   Откроется таблица событий.

2. Нажмите на имя события, сведения которого вы хотите открыть.
3. В открывшемся окне со сведениями о событии нажмите на имя устройства, а затем в раскрывающемся списке выберите Поместить на карантин.
4. Выполните действия, которые описаны в пунктах 5–6 процедуры Реагирование из деталей алерта или инцидента.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Файл удаляется из директории устройства, на котором он находится, и перемещается на карантин на том же устройстве. Иначе отображается сообщение об ошибке.

Реагирование из графа расследования

Этот параметр доступен, если граф расследования построен.

Чтобы переместить файл на карантин из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство с файлом, который нужно переместить на карантин.
2. В открывшемся окне нажмите на кнопку Посмотреть на графе.

   Откроется окно графа расследования.

3. Нажмите на имя устройства, чтобы открыть сведения об устройстве.
4. В раскрывающемся списке Выбор действий по реагированию выберите Поместить на карантин.
5. Выполните действия, которые описаны в пунктах 4–6 процедуры Реагирование из деталей алерта или инцидента.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Файл удаляется из директории устройства, на котором он находится, и перемещается на карантин на том же устройстве. Иначе отображается сообщение об ошибке.

Действия по реагированию из таблицы активов

Чтобы выполнить действие по реагированию из таблицы активов:

1. В главном окне приложения перейдите в раздел Управление активами → Активы (Устройства).

   Откроется таблица активов.

2. Установите флажок рядом с устройством, для которого вы хотите выполнить действие по реагированию.

   Вы можете выбрать несколько устройств.

   Архивированные устройства выбрать невозможно.

3. В раскрывающемся списке Выбор действий по реагированию выберите Поместить на карантин.
4. В открывшейся панели справа настройте параметры действий по реагированию, которые описаны в пунктах 5–6 процедуры Реагирование из деталей алерта или инцидента.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Файл удаляется из директории устройства, на котором он находится, и перемещается на карантин на том же устройстве. Иначе отображается сообщение об ошибке.

Реагирование из раздела История реагирований

Чтобы выполнить действие по реагированию из раздела История реагирований:

1. В главном окне приложения перейдите в раздел Мониторинг → История реагирований.

   Откроется таблица с историей реагирования на все алерты и инциденты.

2. В раскрывающемся списке Действие по реагированию выберите Поместить на карантин.
3. В открывшейся панели справа настройте параметры действий по реагированию, которые описаны в пунктах 5–6 процедуры Реагирование из деталей алерта или инцидента.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Файл удаляется из директории устройства, на котором он находится, и перемещается на карантин на том же устройстве. Иначе отображается сообщение об ошибке.

Просмотр результата действия по реагированию

Вы можете просмотреть результаты выполнения действий по реагированию одним из следующих способов:

• В главном меню в разделе История реагирований.
• На вкладке История в деталях алерта или инцидента.

После того как вы перейдете по ссылке в столбце Статус действия, откроется окно с выбранной вкладкой Результат. Если действие по реагированию выполнено успешно, отобразится сообщение Успешно. Иначе отобразится сообщение об ошибке с информацией о причине.

Если вы хотите просмотреть идентификатор запуска и JSON с результатом действия реагирования, перейдите на вкладку Отладка данных.

В начало