Вы можете выполнить действие по реагированию одним из следующих способов:
Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.
Чтобы выполнить действия по реагированию, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Аналитик 1-го уровня, Аналитик 2-го уровня.
Выполнение действия по реагированию из деталей алерта или инцидента
Чтобы выполнить действие по реагированию из деталей алерта или инцидента:
При необходимости вы можете выбрать несколько устройств.
По умолчанию в раскрывающемся списке Область действия выбран параметр Указанные активы и раскрывающийся список Активы содержит названия устройств, для которых вы ранее установили флажки. Это означает, что исполняемый файл должен быть запущен на этих устройствах.
Вы можете изменить устройства для проверки или выбрать вариант Все активы в выпадающем списке Область действия для проверки всех устройств, принадлежащих тенанту алерта или инцидента (и его дочерним тенантам).
Для выбора доступны только те активы, с которыми вы можете выполнить действие по реагированию.
Устройства отображаются следующим образом: устройства, относящиеся к алерту или инциденту, помещаются в начало раскрывающего списка Активы, затем в алфавитном порядке отображаются устройства, принадлежащие тенанту алерта или инцидента, а также дочерним тенантам.
/all argument.Панель будет закрыта. Окно закрыто. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.
Выполнение действия по реагированию из свойств устройства
Чтобы выполнить действие по реагированию из сведений об устройстве:
Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.
Выполнение действия по реагированию из графа расследования
Этот параметр доступен, если граф расследования построен.
Чтобы выполнить действие по реагированию из графа расследования:
Откроется окно графа расследования.
Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.
Если вы еще не установили приложение Kaspersky Endpoint Security со встроенным агентом на вашем устройстве и произошла ошибка при выполнении действий по реагированию, вам нужно убедиться, что имя устройства в Open Single Management Platform такое же, как и в Kaspersky Anti Targeted Attack Platform.
Выполнение действий по реагированию из таблицы активов
Чтобы выполнить действие по реагированию из таблицы активов:
Откроется таблица активов.
Вы можете выбрать несколько устройств.
Архивированные устройства выбрать невозможно.
Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.
Выполнение действия по реагированию из раздела История реагирований
Чтобы выполнить действие по реагированию из раздела История реагирований:
Откроется таблица с историей реагирования на все алерты и инциденты.
Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.
Выполнение действия по реагированию из информации о событии
Чтобы выполнить действие по реагированию из информации о событии
Откроется таблица событий.
Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.
Просмотр результата действия по реагированию
Вы можете просмотреть результаты выполнения действий по реагированию одним из следующих способов:
После того как вы перейдете по ссылке в столбце Статус действия, откроется окно с выбранной вкладкой Результат. Если действие по реагированию выполнено успешно, отобразится сообщение Успешно. Иначе отобразится сообщение об ошибке с информацией о причине.
Если вы хотите просмотреть идентификатор запуска и JSON с результатом действия реагирования, перейдите на вкладку Отладка данных.
В начало