Управление службами

Вы можете удаленно запускать, останавливать, приостанавливать или возобновлять службы, а также удалять службы с устройстве.

Для выполнения действия по реагированию Управлять службами вам потребуется:

Вы можете выполнить действия по реагированию одним из следующих способов:

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Реагирование из деталей алерта или инцидента

Чтобы выполнить действие по реагированию из деталей алерта или инцидента:

  1. Выполните одно из следующих действий:
    • В главном окне приложения перейдите в раздел МониторингАлерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
    • В главном окне приложения перейдите в раздел МониторингИнциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
  2. В открывшемся окне выберите вкладку Активы.

    Вы также можете выбрать вкладку Наблюдаемые объекты, установить флажок рядом действием по реагированию, которое вы хотите выполнить, и нажать Управлять службами.

  3. Установите флажок рядом с устройством, для которого вы хотите выполнить действие по реагированию.

    Вы можете выбрать несколько устройств.

  4. В раскрывающемся списке Выбор действий по реагированию выберите Управлять службами.
  5. В открывшейся панели справа настройте следующие параметры в соответствующих полях:
    1. Устройства, на которых вы хотите управлять службой.

      По умолчанию в группе параметров Область действия выбран параметр Указанные активы и раскрывающийся список Активы содержит названия устройств, для которых вы установили флажки на шаге 3.Активы

      Вы можете изменить устройства или выбрать вариант Все активы в группе параметров Область действия для управления службами на всех устройствах, принадлежащих тенанту алерта или инцидента и его дочерним тенантам.

      Для выбора доступны только те активы, с которыми вы можете выполнить действие по реагированию.
      Устройства отображаются следующим образом: устройства, относящиеся к алерту или инциденту, помещаются в начало раскрывающего списка Активы, затем в алфавитном порядке отображаются устройства, принадлежащие тенанту алерта или инцидента, а также дочерним тенантам.

    2. Название службы.
    3. Действие, которое нужно выполнить со службой: Изменить тип запуска, Запустить, Остановить, Приостановить, Возобновить или Удалить.

      Если вы выбрали действие Изменить тип запуска, вам нужно выбрать значение в раскрывающемся списке Новый тип запуска.

      Настоятельно не рекомендуется останавливать, приостанавливать, удалять служб или изменять типа запуска служб, влияющих на работу на устройстве.
      Список служб, которыми не рекомендуется управлять:

    4. При необходимости настройте следующие параметры:
      • Укажите SHA256 или хеш MD5 файла.

        Если на шаге 2 вы выбрали вкладку Наблюдаемые объекты, хеш будет указан. При необходимости значение можно изменить.

      • Напишите описание или комментарий к действию по реагированию.
  6. Нажмите на кнопку Запустить.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из сведений об устройстве

Чтобы выполнить действие по реагированию из сведений об устройстве:

  1. Выполните одно из следующих действий:
    • В главном окне приложения перейдите в раздел МониторингАлерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
    • В главном окне приложения перейдите в раздел МониторингИнциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
  2. В открывшемся окне выберите вкладку Активы.
  3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.

    Откроется панель с информацией об устройстве.

  4. Выполните действия, которые описаны в пунктах 4–6 процедуры Реагирование из деталей алерта или инцидента.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из телеметрии события

Чтобы выполнить реагирование из телеметрии события при его открытии из деталей алерта или инцидента:

  1. Выполните одно из следующих действий:
    • В главном окне приложения перейдите в раздел МониторингАлерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий требуемое устройство.
    • В главном окне приложения перейдите в раздел МониторингИнциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
  2. В открывшемся окне выберите вкладку Подробнее и выполните одно из следующих действий:
    • Нажмите на название нужного события и выберите устройство.
    • Нажмите на кнопку Поиск угроз, чтобы перейти в раздел Поиск угроз и выберите нужное устройство.
  3. Выполните действия, которые описаны в пунктах 4–6 процедуры Реагирование из деталей алерта или инцидента.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Чтобы выполнить действие по реагированию из телеметрии события при его открытии из раздела Поиск угроз:

  1. В главном окне приложения перейдите в раздел Мониторинг→ Поиск угроз.

    Откроется таблица событий.

  2. Нажмите на имя события, сведения которого вы хотите открыть.
  3. В открывшейся панели с информацией о событии нажмите на имя устройства, а затем в раскрывающемся списке выберите Управлять службами.
  4. В открывшейся панели справа настройте параметры действий по реагированию, которые описаны в пункте 5 процедуры Реагирование из деталей алерта или инцидента и запустите действие по реагированию.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из графа расследования

Чтобы выполнить действие по реагированию из графа расследования:

  1. В главном окне приложения перейдите в раздел МониторингИнциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано требуемое устройство.
  2. Нажмите на кнопку Посмотреть на графе.
  3. В открывшемся графе расследования нажмите на имя устройства, а затем в раскрывающемся списке выберите Просмотреть свойства.
  4. В открывшейся панели со сведениями об устройстве выполните действия, которые описаны в пунктах 4–6 процедуры Реагирование из деталей алерта или инцидента.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Действия по реагированию из таблицы активов

Чтобы выполнить действие по реагированию из таблицы активов:

  1. В главном окне приложения перейдите в раздел Управление активамиАктивы (Устройства).

    Откроется таблица активов.

  2. Установите флажок рядом с устройством, для которого вы хотите выполнить действие по реагированию.

    Вы можете выбрать несколько устройств.

    Архивированные устройства выбрать невозможно.

  3. В раскрывающемся списке Выбор действий по реагированию выберите Управлять службами.
  4. В открывшейся панели справа настройте параметры действий по реагированию, которые описаны в пунктах 5–6 процедуры Реагирование из деталей алерта или инцидента.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из раздела История реагирований

Чтобы выполнить действие по реагированию из раздела История реагирований:

  1. В главном окне приложения перейдите в раздел МониторингИстория реагирований.

    Откроется таблица с историей реагирования на все алерты и инциденты.

  2. В раскрывающемся списке Действие по реагированию выберите Управлять службами.
  3. В открывшейся панели справа настройте параметры действий по реагированию, которые описаны в пункте 5 инструкции Реагирование из деталей алерта или инцидента и запустите действие по реагированию.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Просмотр результата действия по реагированию

Вы можете просмотреть результаты выполнения действия по реагированию одним из следующих способов:

После того как вы перейдете по ссылке в столбце Статус действия, откроется окно с выбранной вкладкой Результат. Если действие по реагированию выполнено успешно, отобразится сообщение Успешно. Иначе отобразится сообщение об ошибке с информацией о причине.

Если вы хотите просмотреть идентификатор запуска и JSON с результатом действия реагирования, перейдите на вкладку Отладка данных.

В начало