Проверка устройств на наличие угроз

Чтобы предотвратить распространение угрозы на зараженном устройстве, вы можете выполнить проверку устройства на наличие угроз, выполнив одно из следующих действий:

Чтобы выполнить действия по реагированию, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Аналитик 1-го уровня, Аналитик 2-го уровня.

Вы можете выполнить действия по реагированию одним из следующих способов:

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Запуск проверки из деталей алерта или инцидента

Чтобы запустить проверку устройства из деталей алерта или инцидента:

  1. Выполните одно из следующих действий:
    • В главном окне приложения перейдите в раздел МониторингАлерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий устройство, которое требуется проверить.
    • В главном окне приложения перейдите в раздел МониторингИнциденты. В столбце Идентификатор нажмите на идентификатор инцидента, содержащий устройство, которое требуется проверить.
  2. В открывшемся окне выберите вкладку Активы.
  3. Установите флажок рядом с устройством, которое нужно проверить.

    При необходимости вы можете выбрать несколько устройств.

  4. В раскрывающемся списке Выбор действий по реагированию выберите Проверить.
  5. В открывшемся контекстном меню выберите нужное действие по реагированию.

Запуск проверки из сведений об устройстве

Чтобы запустить проверку из сведений об устройстве:

  1. Выполните одно из следующих действий:
    • В главном окне приложения перейдите в раздел МониторингАлерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий устройство, которое требуется проверить.
    • В главном окне приложения перейдите в раздел МониторингИнциденты. В столбце Идентификатор нажмите на идентификатор инцидента, содержащий устройство, которое требуется проверить.
  2. В открывшемся окне выберите вкладку Активы.
  3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.
  4. В раскрывающемся списке Выбор действий по реагированию выберите Проверить.
  5. В открывшемся контекстном меню выберите нужное действие по реагированию.

Запуск проверки из графа расследования

Чтобы запустить проверку устройства из графа расследования:

  1. В главном окне приложения перейдите в раздел МониторингИнциденты. В столбце Идентификатор нажмите на идентификатор инцидента, содержащий устройство, которое требуется проверить.
  2. Нажмите на кнопку Посмотреть на графе.
  3. В открывшемся графе расследования нажмите на имя устройства, чтобы открыть сведения об устройстве.
  4. В раскрывающемся списке Выбор действий по реагированию выберите Проверить.
  5. В открывшемся контекстном меню выберите нужное действие по реагированию.

Запуск проверки из телеметрии события

Чтобы выполнить проверку устройства из телеметрии события при его открытии из деталей алерта или инцидента:

  1. Выполните одно из следующих действий:
    • В главном окне приложения перейдите в раздел МониторингАлерты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором алерта.
    • В главном окне приложения перейдите в раздел МониторингИнциденты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором инцидента.
  2. В открывшемся окне выберите вкладку Подробнее и выполните одно из следующих действий:
    • Нажмите на название нужного события и выберите устройство.
    • Нажмите на кнопку Поиск угроз, чтобы перейти в раздел Поиск угроз и выберите нужное устройство.
  3. В раскрывающемся списке Выбор действий по реагированию выберите Проверить.
  4. В открывшемся контекстном меню выберите нужное действие по реагированию.

Чтобы выполнить проверку устройства из телеметрии события при его открытии из раздела Поиск угроз:

  1. В главном окне приложения перейдите в раздел Мониторинг → Поиск угроз.

    Откроется таблица событий.

  2. Нажмите на имя события, сведения которого вы хотите открыть.
  3. В открывшемся окне со сведениями о событии нажмите на имя устройства, а затем в раскрывающемся списке выберите нужное действие по реагированию.

Запуск проверки из таблицы активов

Чтобы запустить проверку из таблицы активов:

  1. В главном окне приложения перейдите в раздел Управление активамиАктивы (Устройства).

    Откроется таблица активов.

  2. Установите флажок рядом с устройством, для которого вы хотите выполнить действие по реагированию.

    Вы можете выбрать несколько устройств.

    Архивированные устройства выбрать невозможно.

  3. В раскрывающемся списке Выбор действий по реагированию выберите нужное действие по реагированию.

Запуск проверки из раздела История реагирований

Чтобы запустить проверку из раздела История реагирований:

  1. В главном окне приложения перейдите в раздел МониторингИстория реагирований.

    Откроется таблица с историей реагирования на все алерты и инциденты.

  2. В раскрывающемся списке Действие по реагированию выберите нужное действие по реагированию.

Запуск проверки из списка YARA-правил или IOC-правил

Чтобы выполнить проверку устройства из списка YARA-правил или IOC-правил:

  1. В главном окне приложения перейдите в раздел Правила и службы, а затем выберите YARA-правила или IOC-правила.

    Отобразится список правил.

  2. Установите один или несколько флажков рядом с устройствами, для которых вы хотите запустить проверку.
  3. В панели инструментов нажмите на кнопку:
    • Запустить сканирование YARA, если на шаге 1 вы выбрали YARA-правила.
    • Запустить IOC-проверку если на шаге 1 вы выбрали IOC-правила.
  4. В открывшейся панели справа настройте параметры проверки.
В начало