Przeglądanie informacji o alertach Endpoint Detection and Response
24 maja 2023
ID 231765
Informacje o alertach Endpoint Detection and Response możesz przeglądać w widżecie oraz w tabeli. Widżet pokazuje do 10 alertów, a tabela wyświetla do 1000 alertów.
Jeśli skonfigurowano powiadomienia o Wykryto IoC zdarzeniach, czasami możesz dostać powiadomienie o wykrytym IoC, zanim odpowiedni alert zostanie wyświetlony w Kaspersky Endpoint Security Cloud. Dzieje się tak, ponieważ zdarzenia występują, gdy skanowanie IoC jest nadal w toku, a alert pojawia się dopiero po zakończeniu skanowania.
Widżet Endpoint Detection and Response
W celu wyświetlenia widżetu Endpoint Detection and Response:
- Otwórz Konsolę zarządzającą Kaspersky Endpoint Security Cloud.
- W sekcji Panel informacyjny kliknij zakładkę Monitorowanie.
- Jeśli moduł Endpoint Detection and Response jest wyłączony, zacznij korzystać z tej funkcji.
Widżet wyświetla żądane informacje.
Z poziomu wyświetlonego widżetu możesz przejść do następujących elementów:
- Właściwości urządzenia, na którym nastąpiło wykrycie.
- Szczegóły alertu, w zależności od technologii, która wykryła alert:
- Jeśli alert został wykryty przez platformę Endpoint Protection Platform (EPP) — wykres łańcucha rozprzestrzeniania się zagrożeń, aby przeprowadzić Root-Cause Analysis i podjąć środki zaradcze.
- Jeśli alert został wykryty przez skanowanie według wskaźników włamania (skanowanie IoC) — obiekty wykryte za pomocą IoC i automatyczne środki reagowania, które zostały podjęte.
- Tabela z alertami Endpoint Detection and Response.
Tabela Endpoint Detection and Response
W celu wyświetlenia tabeli z alertami Endpoint Detection and Response:
- Otwórz Konsolę zarządzającą Kaspersky Endpoint Security Cloud.
- Otwórz okno Alerty Endpoint Detection and Response w dowolny z następujących sposobów:
- W sekcji Panel informacyjny kliknij zakładkę Monitorowanie, a następnie kliknij odnośnik Przejdź do listy alertów w widżecie Endpoint Detection and Response.
- Wybierz sekcję Zarządzanie ochroną → Endpoint Detection and Response.
- Jeśli moduł Endpoint Detection and Response jest wyłączony, zacznij korzystać z tej funkcji.
Tabela wyświetla żądane informacje.
- Przefiltruj wyświetlane rekordy, wybierając wymagane wartości z list rozwijanych:
- Data wykrycia
Okres, w którym wystąpiły alerty.
- Stan
Stan alertów w zależności od technologii, która je wykryła:
- Jeśli alert został wykryty przez EPP — czy wykryte obiekty zostały wyleczony czy nie wyleczone (usunięte).
- Jeśli alert został wykryty przez skanowanie IoC — niezależnie od tego, czy wykryto tylko IoC, czy też zostały wykonane automatyczne działania.
- Technologia
Technologia, która wykryła alerty: EPP lub skanowanie IoC.
- Data wykrycia
Z poziomu wyświetlanej tabeli możesz przejść do następujących elementów:
- Właściwości urządzenia, na którym nastąpiło wykrycie.
- Ustawienia profilu zabezpieczeń, które przypisano do użytkownika będącego właścicielem urządzenia, którego dotyczy problem.
- Szczegóły alertu, w zależności od technologii, która wykryła alert:
- Jeśli alert został wykryty przez platformę Endpoint Protection Platform (EPP) — wykres łańcucha rozprzestrzeniania się zagrożeń, aby przeprowadzić Root-Cause Analysis i podjąć środki zaradcze.
- Jeśli alert został wykryty przez skanowanie według wskaźników włamania (skanowanie IoC) — obiekty wykryte za pomocą IoC i automatyczne środki reagowania, które zostały podjęte.
Można także wyeksportować informacje o wszystkich bieżących alertach do pliku CSV.