Получение образа диска

Чтобы получить образ диска:

1. Выберите действие по реагированию Образ диска.

   Откроется панель Получить образ диска.

2. В поле Путь к общему сетевому ресурсу укажите путь к общему сетевому ресурсу в формате UNC.
3. В поле Имя пользователя выберите имя пользователя учетной записи, которая будет использоваться для доступа к общему сетевому ресурсу.

   Вам нужно заранее настроить учетные данные для доступа к общему сетевому ресурсу в параметрах тенантов.

4. В блоке параметров Тип диска выполните одно из следующих действий:
   • Логический, а затем в поле Том укажите букву диска без двоеточия и косой черты, например E или C.

     Значение по умолчанию – %SystemDrive%.

   • Физический, а затем в поле Физический диск укажите путь к диску в следующем формате:
     • Для устройства с Kaspersky Endpoint Security для Windows: \\.\PHYSICALDRIVE0, \\.\PHYSICALDRIVE1, \\.\PHYSICALDRIVE2
     • Для устройства с Kaspersky Endpoint Security для Linux: /dev/sda
5. Если вы хотите разделить файл образа диска на несколько частей, включите параметр Разделить файл на части, а затем укажите минимальный размер одной части сохраняемого файла в ГБ.
6. При необходимости настройте следующие параметры:
   • В раскрывающемся списке Активы измените устройство, с которого вы хотите получить образ диска.

     По умолчанию поле содержит имя устройства, для которого ранее вы установили флажок. Можно выбрать устройства, которые не связаны с алертом или инцидентом, но принадлежат тенанту алерта или инцидента либо его дочерним тенантам.

     Для выбора доступны только те активы, с которыми вы можете выполнить действие по реагированию.
     Устройства отображаются следующим образом: устройства, относящиеся к алерту или инциденту, помещаются в начало раскрывающего списка Активы, а затем отображаются устройства в алфавитном порядке, принадлежащие тенанту алерта или инцидента, а также дочерним тенантам.

   • В поле Описание напишите описание или комментарий к действию по реагированию.
7. Нажмите на кнопку Получить.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

В результате действия по реагированию образ диска сохраняется в EWF-файл.

Файлы не могут быть перезаписаны: если в папке точки назначения уже есть файл с таким именем, в имени вашего EWF-файла будет указан постфикс, например Filename-1.

Просмотр результата действия по реагированию

Вы можете просмотреть результаты выполнения действий по реагированию одним из следующих способов:

• В главном меню в разделе История реагирований.
• На вкладке История в деталях алерта или инцидента.

После того как вы перейдете по ссылке в столбце Статус действия, откроется окно с выбранной вкладкой Результат. Если действие по реагированию выполнено успешно, отобразится сообщение Успешно и путь к файлу с образом памяти диска, находящемуся на общем сетевом ресурсе. Вы можете скопировать путь.

Иначе отобразится сообщение об ошибке с информацией о причине ошибки.

Если вы хотите просмотреть Идентификатор запуска и JSON с результатом действия реагирования, перейдите на вкладку Отладка данных.

Вы не можете перейти к общему сетевому ресурсу непосредственно из результата действия по реагированию.

В начало