Получение файлов из карантина

Для выполнения действия по реагированию вам потребуется:

• Одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Аналитик 1-го уровня, Аналитик 2-го уровня.
• Установленный на ваших устройствах Kaspersky Endpoint Security со встроенным агентом.

Файл на карантине, расположенный на устройстве, можно получить из карантина для дальнейшего анализа. Полученный файл отобразится в разделе Файлы Консоли OSMP.

Вы можете выполнить это действие по реагированию одним из следующих способов:

• Из раздела Карантин главного меню.
• Из результатов действия по реагированию Поместить на карантин.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Действие по реагированию из раздела Карантин

Чтобы выполнить действие по реагированию из раздела Карантин:

1. В главном окне приложения перейдите в раздел Операции → Хранилища → Карантин.
2. Выполните одно из следующих действий:
   • Выберите файл, который вы хотите получить из карантина.
   • Нажмите на имя файла, который вы хотите получить из карантина.

   Откроется окно со сведениями файла.

3. Нажмите на кнопку Получить файл и подтвердите операцию.

   Если вы хотите, чтобы файл проверялся на наличие угроз после его получения, вы можете нажать на кнопку Получить и проверить.

В случае успешного завершения операции на экране отображается соответствующее сообщение и файл, помещенный на карантин, получен с устройства. Иначе отображается сообщение об ошибке.

Реагирование из результатов действия по реагированию Поместить на карантин

Чтобы выполнить реагирование их результатов действия по реагированию Поместить на карантин:

1. Откройте результат действия Поместить на карантин одним из следующих способов:
   • В главном окне приложения перейдите в раздел Мониторинг → История реагирований.
   • В главном меню перейдите в раздел Мониторинг, выберите раздел Алерты или Инциденты. В столбце Идентификатор нажмите идентификатор алерта или инцидента, который включает актив или наблюдаемый объект, для которого вы выполнили действие по реагированию Поместить на карантин. В открывшихся деталях алерта или инцидента перейдите на вкладку История.
2. Для результата действия по реагированию Поместить на карантин в столбце Статус действия перейдите по ссылке Успешно.
3. В открывшемся окне сведений нажмите на кнопку Получить файл и подтвердите операцию.

   Если вы хотите, чтобы файл проверялся на наличие угроз после его получения, вы можете нажать на кнопку Получить и проверить.

Просмотр результата действия по реагированию

В результаты действия по реагированию отображаются:

• В разделе Файлы главного меню.
• В главном меню в разделе История реагирований.

  После того как вы перейдете по ссылке в столбце Статус действия, откроются сведения о файле на вкладке Результат, где вы можете просмотреть и при необходимости скачать файл защищенного паролем ZIP-архива на свое устройство. Пароль для файла архива – infected.

  Если не удалось завершить действие по реагированию, отображается сообщение об ошибке с информацией о причине ошибки.

  Если вы хотите просмотреть идентификатор запуска и JSON с результатом действия реагирования, перейдите на вкладку Отладка данных.

В начало