После получения файла с устройства или из карантина, вы можете выполнить проверку файла на наличие угроз.
Чтобы выполнить действие по реагированию, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Аналитик 1-го уровня, Аналитик 2-го уровня.
Вы можете запустить проверку файла одним из следующих способов:
В главном меню в разделе Файлы или на вкладке Файлы в сведениях алерта или инцидента.
Параметр доступен для файлов, которые были помещены в раздел Файлы в результате действий по реагированию Файл или Получить файл, а также для файлов, которые вы загрузили вручную.
В результате выполнения следующих действий по реагированию:
Чтобы запустить проверку из раздела или вкладки Файлы:
В главном окне приложения выполните одно из следующих действий:
В главном окне приложения перейдите в раздел Операции → Хранилища → Файлы.
Перейдите в раздел Мониторинг, выберите раздел Алерты или Инциденты. В столбце Идентификатор нажмите на идентификатор алерта или инцидента, который включает файлы, полученные в результате действий по реагированию Получить файл и Получение файлов из карантина. В открывшихся деталях алерта или инцидента перейдите на вкладку Файлы.
В таблице файлов выполните одно из следующих действий:
Установите флажок рядом с нужным файлом и в панели инструментов нажмите на кнопку Проверить.
Нажмите на имя файла и в открывшейся панели сведений о файле нажмите на кнопку Проверить.
Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.
Запуск проверки из результатов других действий по реагированию
Чтобы запустить проверку из результатам других действий по реагированию:
В главном окне приложения выполните одно из следующих действий:
Перейдите в раздел Мониторинг → История реагирований.
Перейдите в раздел Мониторинг, выберите раздел Алерты или Инциденты. В столбце Идентификатор нажмите на идентификатор алерта или инцидента, из которого вы выполнили действие по реагированию Получить файл, Получить файлы из карантина или Переместить файлы на карантин. В открывшихся деталях алерта или инцидента выберите вкладку История, а затем на вкладку История реагирований, чтобы отобразить список событий.
В столбце Статус действия перейдите по ссылке статуса Успешно события, для которого вы хотите просмотреть результаты нужного действия по реагированию.
В открывшейся панели справа перейдите по ссылке с именем файла.
Откроется панель с информацией о файле.
В панели инструментов нажмите на кнопку Проверить.
Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.
Просмотр результатов проверки файлов
Вы можете просмотреть файл с результатами проверки одним из следующих способов:
В главном меню в разделе Файлы или на вкладке Файлы в сведениях алерта или инцидента.
После того как вы перейдете по ссылке в столбце Статус действия, откроется окно с выбранной вкладкой Результат. Если действие по реагированию выполнено успешно, отобразится сообщение Успешно и защищенный паролем ZIP-архив с результатами проверки. Вы можете скачать архив на ваше устройство. Пароль для файла архива: infected.
Иначе отобразится сообщение об ошибке с информацией о причине.
Если вы хотите просмотреть Идентификатор запуска и JSON с результатом действия реагирования, перейдите на вкладку Отладка данных.