Lorsqu'il est intégré avec les solutions Detection and Response, vous pouvez effectuer les actions suivantes à l'aide des commandes de gestion de la quarantaine :
La restauration d'objets infectés peut infecter l'appareil.
Mettre un fichier en quarantaine
Pour mettre un fichier en quarantaine, exécutez la commande suivante :
kesl-control -[-Q] --put <chemin d'accès au fichier> [--md5] [--sha256] [--save-original-file]
où :
<chemin d'accès au fichier> : chemin d'accès au fichier que vous souhaitez mettre en quarantaine ;--md5 : somme de hachage MD5 du fichier que vous souhaitez mettre en quarantaine ;--sha256 : somme de hachage SHA256 du fichier que vous souhaitez mettre en quarantaine ;--save-original-file : ne pas supprimer le fichier d'origine. Si vous ne spécifiez pas cette clé, le fichier d'origine sera supprimé.
Le fichier d'origine est supprimé uniquement si le compte utilisateur dispose de l'autorisation de supprimer des objets. Si les droits sont insuffisants, un message d'erreur concernant la suppression du fichier s'affiche.
Vous ne pouvez utiliser cette commande que lors de l'intégration avec Kaspersky Endpoint Detection and Response Optimum ou Kaspersky Managed Detection and Response.
Afficher des informations sur les fichiers mis en quarantaine
Pour afficher des informations sur les fichiers mis en quarantaine, exécutez la commande suivante :
kesl-control -Q --query ["<conditions du filtre>"] [-n <nombre>] [--json]
où :
<conditions du filtre> : une ou plusieurs expressions logiques au format <champ> <opération de comparaison> '<valeur>', combinées à l'aide de l'opérateur logique and, pour limiter les résultats de la requête. Si vous ne spécifiez pas de conditions de filtrage, l'application affichera des informations sur tous les fichiers mis en quarantaine.<nombre> : nombre de fichiers récemment mis en quarantaine qui doivent être affichés. Si vous ne spécifiez pas la clé -n, les 30 derniers fichiers seront affichés. Pour afficher tous les fichiers, saisissez la valeur 0.--json : afficher les données au format JSON.La ligne ObjectId affichera l'identifiant numérique que l'application a attribué au fichier lors de sa mise en quarantaine. Cet identifiant est utilisé pour effectuer des actions sur le fichier, telles que la restauration ou la suppression du fichier de la quarantaine.
Restaurer les fichiers depuis la quarantaine
Pour restaurer un fichier mis en quarantaine avec son nom d'origine vers son emplacement d'origine, exécutez la commande suivante :
kesl-control -Q --restore <identifiant de l'objet>
où <identifiant de l'objet> est l'identifiant numérique que l'application a attribué au fichier lors de sa mise en quarantaine.
Pour restaurer un fichier avec un nouveau nom de la quarantaine vers le répertoire spécifié, exécutez la commande suivante :
kesl-control -Q --restore <identifiant de l'objet> --file <chemin d'accès au fichier>
où --file <chemin d'accès au fichier> est le nouveau nom de fichier et le chemin d'accès au répertoire dans lequel vous souhaitez enregistrer le fichier.
Vous ne pouvez restaurer un fichier de la quarantaine vers un autre répertoire que si votre compte dispose des droits root. S'il n'y a pas assez de privilèges, le fichier ne peut être restauré qu'à son emplacement d'origine.
Mettre un fichier en quarantaine
Pour supprimer les fichiers sélectionnés de la quarantaine, exécutez la commande suivante :
kesl-control -Q --mass-remove --query "<conditions du filtre>"
où <conditions du filtre> : une ou plusieurs expressions logiques au format <champ> <opération de comparaison> '<valeur>', combinées à l'aide de l'opérateur logique and, pour limiter les résultats de la requête.
|
Exemples : Pour supprimer les fichiers qui contiennent "test" dans leur nom ou chemin :
|
Pour supprimer tous les fichiers de la quarantaine, exécutez la commande suivante :
kesl-control -Q --mass-remove