Detection and Response ソリューションとす連携すると、コマンドラインで隔離管理コマンドを使用して次の操作を実行できます。
感染しているファイルを復元すると、デバイスへの感染の原因となる可能性があります。
ファイルを隔離する
ファイルを隔離するには、次のコマンドを実行します。
kesl-control [-Q] --put <ファイルパス> [--md5] [--sha256] [--save-original-file]
説明:
<ファイルパス> は隔離したいファイルへのパスです。--md5 は、隔離するファイルの MD5 ハッシュです。--sha256> は、隔離するファイルの SHA256 ハッシュです。--save-original-file は元のファイルを保持します。このオプションを指定しない場合は、元のファイルは削除されます。
ユーザーアカウントにオブジェクトを削除する権限がある場合にのみ、元のファイルが削除されます。権限が不十分な場合は、ファイル削除エラーメッセージが表示されます。
このコマンドは、Kaspersky Endpoint Detection and Response Optimum または Kaspersky Managed Detection and Response と連携されている場合にのみ利用できます。
隔離されたファイルに関する情報の表示
隔離されたファイルに関する情報を表示するには、次のコマンドを実行します:
kesl-control -Q --query ["<フィルター条件>"] [-n <数値>] [--json]
説明:
<フィルター条件> – <フィールド> <比較演算子> '<値>' 形式の 1 つまたは複数の論理式。論理演算子 and 組み合わせて、結果を限定します。フィルター条件を指定しない場合、隔離されているすべてのファイルの詳細を表示します。<number> は、表示する最新の隔離ファイルの数です。-n オプションを指定しない場合は、最後の 30 個のファイルが表示されます。0 を指定してすべてのファイルを表示します。--json – データを JSON 形式で出力します。ObjectId 行には、ファイルを隔離に配置するときにファイルに割り当てた数値 ID が表示されます。この ID は、ファイルの復元や隔離からの削除など、ファイルに対する処理を実行するために使用されます。
隔離からファイルを復元
隔離されたファイルを元の名前で元の場所に復元するには、次のコマンドを実行します:
kesl-control -Q --restore <オブジェクト ID>
<object ID> は、隔離時にアプリケーションがファイルに割り当てた数値 ID です。
隔離からファイルを新しい名前で指定したディレクトリに復元するには、次のコマンドを実行します:
kesl-control -Q --restore <オブジェクト ID> --file <ファイルパス>
--file <ファイルパス> は、ファイルの新しい名前と、ファイルを保存するディレクトリへのパスです。
ユーザーに root 権限がある場合にのみ、隔離されたファイルを別のディレクトリに復元できます。ユーザーの権限が不十分な場合、ファイルは元の位置にのみ復元できます。
隔離からファイルを削除
選択したファイルを隔離から削除するには、次のコマンドを実行します。
kesl-control -Q --mass-remove --query "<フィルター条件>"
<フィルター条件>は、<フィールド> <比較演算子> '<値>' 形式の 1 つまたは複数の論理式。論理演算子 and 組み合わせて、結果を限定します。
|
例: 名前またはパスに「test」を含むファイルを削除します:
|
隔離からすべてのファイルを削除するには、次のコマンドを実行します:
kesl-control -Q --mass-remove