Работа с таблицей правил запрета

Чтобы открыть таблицу правил запрета, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Администратор SOC, Менеджер SOC, Аналитик 1-го уровня, Аналитик 2-го уровня, Младший аналитик, Подтверждающий, Аудитор.
Для создания или импорта правил запрета у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Аналитик 1-го уровня, Аналитик 2-го уровня.

Таблица правил запрета содержит следующие столбцы:

• Имя. Для правил запрета, созданных вручную, в столбце отображается имя, указанное в панели Создать правило запрета. Для импортированных правил запрета в столбце отображается хеш файла.
• Хеш. MD5- или SHA256-хеш файла, который нужно заблокировать.
• Владелец тенанта. Тенант, которому принадлежит правило запрета.

  Если в режиме распределенного решения тенант был создан на резервном узле, в поле Тенант отображается значок резервного узла ().

  

  Двухуровневая иерархия серверов с установленными компонентами Central Node. Эта иерархия выделяет первичный управляющий сервер (Primary Central Node (PCN)) и вторичные серверы (Secondary Central Nodes (SCN)).

• Активы. Устройства, для которых применяется правило запрета. В столбце отображается либо количество устройств, либо значение Все активы тенанта.
• Создано. Дата и время создания или импорта правила запрета.
• Создал. Пользователь, создавший или импортировавший правило запрета.
• Обновлено. Дата и время последнего изменения параметров правила запрета.
• Обновил. Пользователь, который последним изменил параметры правила запрета.
• Статус правила. Если правило запрета включено, в этом столбце для правила отображается значение Включено. В противном случае отображается значение Выключено.
• Уведомлять о блокировке файла. Если при создании или изменении правила запрета вы выключили уведомление о блокировке файла, в столбце отображается значение Нет. В противном случае отображается значение Да.

В таблице вы можете выполнить следующие действия:

• Создать или импортировать правило запрета.
• Удалите правило запрета, установив флажок рядом с именем нужного правила и нажав на кнопку Удалить в панели инструментов.
• Просмотрите и измените параметры правила запрета, нажав на имя правила в таблице.

  Откроется панель Изменить правило запрета на вкладке Подробнее. Вы можете изменить параметры правила запрета. Параметры совпадают с теми, которые были указаны создании правила запрета из таблицы правил. Также вы можете нажать на кнопку Перейти в Поиск угроз, чтобы просмотреть события, полученные при срабатывании правила запрета.

  На вкладке Журнал событий вы можете просмотреть все изменения правила запрета одним из следующих способов: вручную из таблицы правил запрета, выполнить действие по реагированию или запустить плейбук.

В начало