Проверка устройств на наличие угроз

Чтобы предотвратить распространение угрозы на зараженном устройстве, вы можете выполнить проверку устройства на наличие угроз, выполнив одно из следующих действий:

• Запустить поиск вредоносного ПО
• Сканирование YARA
• IOC-проверка

Чтобы выполнить действия по реагированию, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Аналитик 1-го уровня, Аналитик 2-го уровня.

Вы можете выполнить действия по реагированию одним из следующих способов:

• Из деталей алерта или инцидента.
• Из сведений об устройстве.
• Из телеметрии события.

  Вы можете открыть информацию о событии в деталях алерта или инцидента или в разделе Поиск угроз.

• Из графа расследования.

  Этот параметр доступен, если граф расследования построен.

• Из таблицы активов.
• Из раздела История реагирований.
• Из списка YARA-правил или IOC-правил.

  Этот параметр доступен для действий по реагированию Сканирование YARA и IOC-проверка.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Запуск проверки из деталей алерта или инцидента

Чтобы запустить проверку устройства из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий устройство, которое требуется проверить.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, содержащий устройство, которое требуется проверить.
2. В открывшемся окне выберите вкладку Активы.
3. Установите флажок рядом с устройством, которое нужно проверить.

   При необходимости вы можете выбрать несколько устройств.

4. В раскрывающемся списке Выбор действий по реагированию выберите Проверить.
5. В открывшемся контекстном меню выберите нужное действие по реагированию.

Запуск проверки из сведений об устройстве

Чтобы запустить проверку из сведений об устройстве:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий устройство, которое требуется проверить.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, содержащий устройство, которое требуется проверить.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.
4. В раскрывающемся списке Выбор действий по реагированию выберите Проверить.
5. В открывшемся контекстном меню выберите нужное действие по реагированию.

Запуск проверки из графа расследования

Чтобы запустить проверку устройства из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, содержащий устройство, которое требуется проверить.
2. Нажмите на кнопку Посмотреть на графе.
3. В открывшемся графе расследования нажмите на имя устройства, чтобы открыть сведения об устройстве.
4. В раскрывающемся списке Выбор действий по реагированию выберите Проверить.
5. В открывшемся контекстном меню выберите нужное действие по реагированию.

Запуск проверки из телеметрии события

Чтобы выполнить проверку устройства из телеметрии события при его открытии из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг → Алерты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором алерта.
   • В главном окне приложения перейдите в раздел Мониторинг → Инциденты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором инцидента.
2. В открывшемся окне выберите вкладку Подробнее и выполните одно из следующих действий:
   • Нажмите на название нужного события и выберите устройство.
   • Нажмите на кнопку Поиск угроз, чтобы перейти в раздел Поиск угроз и выберите нужное устройство.
3. В раскрывающемся списке Выбор действий по реагированию выберите Проверить.
4. В открывшемся контекстном меню выберите нужное действие по реагированию.

Чтобы выполнить проверку устройства из телеметрии события при его открытии из раздела Поиск угроз:

1. В главном окне приложения перейдите в раздел Мониторинг → Поиск угроз.

   Откроется таблица событий.

2. Нажмите на имя события, сведения которого вы хотите открыть.
3. В открывшемся окне со сведениями о событии нажмите на имя устройства, а затем в раскрывающемся списке выберите нужное действие по реагированию.

Запуск проверки из таблицы активов

Чтобы запустить проверку из таблицы активов:

1. В главном окне приложения перейдите в раздел Управление активами → Активы (Устройства).

   Откроется таблица активов.

2. Установите флажок рядом с устройством, для которого вы хотите выполнить действие по реагированию.

   Вы можете выбрать несколько устройств.

   Архивированные устройства выбрать невозможно.

3. В раскрывающемся списке Выбор действий по реагированию выберите нужное действие по реагированию.

Запуск проверки из раздела История реагирований

Чтобы запустить проверку из раздела История реагирований:

1. В главном окне приложения перейдите в раздел Мониторинг → История реагирований.

   Откроется таблица с историей реагирования на все алерты и инциденты.

2. В раскрывающемся списке Действие по реагированию выберите нужное действие по реагированию.

Запуск проверки из списка YARA-правил или IOC-правил

Чтобы выполнить проверку устройства из списка YARA-правил или IOC-правил:

1. В главном окне приложения перейдите в раздел Правила и службы, а затем выберите YARA-правила или IOC-правила.

   Отобразится список правил.

2. Установите один или несколько флажков рядом с устройствами, для которых вы хотите запустить проверку.
3. В панели инструментов нажмите на кнопку:
   • Запустить сканирование YARA, если на шаге 1 вы выбрали YARA-правила.
   • Запустить IOC-проверку если на шаге 1 вы выбрали IOC-правила.
4. В открывшейся панели справа настройте параметры проверки.

В начало