Запуск действий по реагированию при работе с событиями

Вы можете запускать действия по реагированию на устройстве, используя зарегистрированное событие, которое связано с этим устройством. Для запуска действия по реагированию событие должно быть связано с устройством, на котором установлена программа Kaspersky Endpoint Agent, подготовленная по сценарию подготовки к получению данных от EPP-приложений.

При работе с событиями вы можете запускать следующие действия по реагированию:

• Изолировать устройство от сети – для любого события, если оно связано с устройством, на котором установлена программа Kaspersky Endpoint Agent.
• Запретить запуск, Поместить на карантин – для события по технологии EPP, если для этого события построена цепочка развития угрозы в Kaspersky Endpoint Agent и при этом в цепочке развития угрозы есть событие активности с объектом обнаружения угрозы и типом Создание файла или Запуск процесса. Для таких событий вы также можете запускать действие Изолировать устройство от сети.

Для событий, являющихся инцидентами EDR, вы можете запускать действия Запретить запуск и Поместить на карантин как для объекта обнаружения угрозы, так и для объектов, указанных в других событиях активности с типом Создание файла или Запуск процесса.

Чтобы изолировать от сети устройство, связанное с событием:

1. Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
2. Выберите нужное событие в разделе События на вкладке События и инциденты.

   Вы можете выбрать как событие, которое является инцидентом EDR, так и любое событие, связанное с устройством, на котором установлена программа Kaspersky Endpoint Agent.

   В правой части окна веб-интерфейса появится область деталей.

3. В области деталей откройте раскрывающийся список Реагирование на угрозы и выберите пункт Изолировать устройство от сети.

   Откроется окно с запросом подтверждения.

4. В окне запроса подтвердите запуск действия по реагированию.

Программа зарегистрирует новое действие по реагированию. Сведения о выполнении этого действия вы можете просмотреть в разделе События на вкладке Действия по реагированию.

Чтобы запретить выполнение объекта обнаружения угрозы или поместить этот объект на карантин:

1. Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
2. Выберите нужное событие в разделе События на вкладке События и инциденты.

   Вы можете выбрать событие, которое является инцидентом EDR и при этом в цепочке развития угрозы есть событие активности с объектом обнаружения угрозы и типом Создание файла или Запуск процесса.

   В правой части окна веб-интерфейса появится область деталей.

3. В области деталей откройте раскрывающийся список Реагирование на угрозы и выберите нужный пункт:
   • Запретить запуск – если вы хотите запретить выполнение объекта обнаружения угрозы.
   • Поместить на карантин – если вы хотите поместить на карантин объект обнаружения угрозы.

   Откроется окно с запросом подтверждения.

4. В окне запроса подтвердите запуск действия по реагированию.

Программа зарегистрирует новое действие по реагированию. Сведения о выполнении этого действия вы можете просмотреть в разделе События на вкладке Действия по реагированию.

Чтобы запретить выполнение или поместить на карантин объект, указанный в любом событии активности с типом Создание файла или Запуск процесса в цепочке развития угрозы:

1. Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
2. Выберите нужное событие в разделе События на вкладке События и инциденты.

   Вы можете выбрать событие, которое является инцидентом EDR.

   В правой части окна веб-интерфейса появится область деталей.

3. В области деталей перейдите на вкладку Все события активности и выберите нужное событие активности.

   Вы можете выбрать любое событие активности с типом Создание файла или Запуск процесса. Ключевое событие активности (с объектом обнаружения угрозы) отмечено значком Обнаружение.

4. В открывшемся окне деталей события активности нажмите на нужную кнопку:
   • Запретить запуск – если вы хотите запретить выполнение объекта, указанного в выбранном событии активности.
   • Поместить на карантин – если вы хотите поместить на карантин объект, указанный в выбранном событии активности.

   Откроется окно с запросом подтверждения.

5. В окне запроса подтвердите запуск действия по реагированию.

Программа зарегистрирует новое действие по реагированию. Сведения о выполнении этого действия вы можете просмотреть в разделе События на вкладке Действия по реагированию.

В начало