Получение файла

Чтобы получить файл:

1. Выберите действие по реагированию Файл.

   Откроется панель Получить файл.

2. В поле Полный путь к файлу укажите полный путь к файлу, который вы хотите получить.
3. При необходимости настройте следующие параметры:
   • В раскрывающемся списке Активы измените устройство, с которого вы хотите получить файл.
   • По умолчанию поле содержит имя устройства, для которого ранее вы установили флажок. Вы можете выбрать устройства, которые не связаны с алертом или инцидентом, но принадлежат тенанту алерта или инцидента и его дочерним тенантам.

     Для выбора доступны только те активы, с которыми вы можете выполнить действие по реагированию.
     Устройства отображаются следующим образом: устройства, относящиеся к алерту или инциденту, помещаются в начало раскрывающего списка Активы, а затем отображаются устройства в алфавитном порядке, принадлежащие тенанту алерта или инцидента, а также дочерним тенантам.

   • В поле MD5 или SHA256 укажите хеш файла, который вы хотите получить.
   • Если вы не хотите выполнять проверку файла, выключите параметр Проверить файл.

     По умолчанию параметр включен. Это означает, что после получения файла он проверяется на наличие угроз.

     При запуске действия по реагированию в плейбуке необходимо добавить этот параметр вручную, если требуется выполнить проверку полученного файла.

   • В поле Описание напишите описание или комментарий к действию по реагированию.
4. Нажмите на кнопку Получить.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

В результате действия реагирования файлы сохраняются в ZIP-архиве. Пароль для файла архива – infected.

Просмотр результата действия по реагированию

Вы можете просмотреть и скачать архив одним из следующих способов:

• В главном меню в разделе История реагирований или на вкладке История в сведениях алерта или инцидента.
• В главном меню в разделе Файлы или на вкладке Файлы в сведениях алерта или инцидента.

Если на шаге 2 вы не выключили параметр Проверить файл, результат проверки файла все равно отображается. После того как вы перейдете по ссылке в столбце Статус действия, откроются сведения о файле на вкладке Результат, где вы можете просмотреть результаты проверки и при необходимости скачать файл на свое устройство.

В начало