Удаление файлов из карантина

Чтобы выполнить действие по реагированию, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Аналитик 1-го уровня, Аналитик 2-го уровня.

Вы можете удалить зараженный файл из карантина на устройстве одним из следующих способов:

• Из раздела Карантин Консоли OSMP.
• Из результатов действия по реагированию Поместить на карантин.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Действие по реагированию из раздела Карантин

Чтобы выполнить действие по реагированию из раздела Карантин:

1. В главном окне приложения перейдите в раздел Операции → Хранилища → Карантин.
2. Выполните одно из следующих действий:
   • Выберите файл, который нужно удалить из карантина.

     Вы можете выбрать несколько файлов.

   • Нажмите на имя файла, который нужно удалить из карантина.

     Откроется окно со сведениями файла.

3. Нажмите на кнопку Удалить и подтвердите операцию.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Файл удален из карантина на устройстве, на котором он находился, без возможности восстановления. Иначе отображается сообщение об ошибке.

Реагирование из результатов действия по реагированию Поместить на карантин

Чтобы выполнить реагирование их результатов действия по реагированию Поместить на карантин:

1. Откройте результат действия Поместить на карантин одним из следующих способов:
   • В главном окне приложения перейдите в раздел Мониторинг → История реагирований.
   • В главном меню перейдите в раздел Мониторинг, выберите раздел Алерты или Инциденты. В столбце Идентификатор нажмите идентификатор алерта или инцидента, который включает актив или наблюдаемый объект, для которого вы выполнили действие по реагированию Поместить на карантин. В открывшихся деталях алерта или инцидента перейдите на вкладку История.
2. Для результата действия по реагированию Поместить на карантин в столбце Статус действия перейдите по ссылке Успешно.
3. В открывшемся окне сведений нажмите на кнопку Удалить и подтвердите операцию.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Файл удален из карантина на устройстве, на котором он находился, без возможности восстановления. Иначе отображается сообщение об ошибке.

Просмотр результата действия по реагированию

Если на вашем устройстве установлено приложение Kaspersky Endpoint Security с встроенным агентом, результат действия по реагированию отображается в разделе История реагирований.

После того как вы перейдете по ссылке в столбце Статус действия, откроется окно с выбранной вкладкой Результат. Если действие по реагированию выполнено успешно, отобразится сообщение Успешно. Иначе отобразится сообщение об ошибке с информацией о причине.

Если вы хотите просмотреть идентификатор запуска и JSON с результатом действия реагирования, перейдите на вкладку Отладка данных.

В начало