Przeglądanie informacji o alertach Endpoint Detection and Response

Informacje o alertach Endpoint Detection and Response możesz przeglądać w widżecie oraz w tabeli. Widżet pokazuje do 10 alertów, a tabela wyświetla do 1000 alertów.

Jeśli skonfigurowano powiadomienia o Wykryto IoC zdarzeniach, czasami możesz dostać powiadomienie o wykrytym IoC, zanim odpowiedni alert zostanie wyświetlony w Kaspersky Endpoint Security Cloud. Dzieje się tak, ponieważ zdarzenia występują, gdy skanowanie IoC jest nadal w toku, a alert pojawia się dopiero po zakończeniu skanowania.

Widżet Endpoint Detection and Response

W celu wyświetlenia widżetu Endpoint Detection and Response:

1. Otwórz Konsolę zarządzającą Kaspersky Endpoint Security Cloud.
2. W sekcji Panel informacyjny kliknij zakładkę Monitorowanie.
3. Jeśli moduł Endpoint Detection and Response jest wyłączony, zacznij korzystać z tej funkcji.

Widżet wyświetla żądane informacje.

Z poziomu wyświetlonego widżetu możesz przejść do następujących elementów:

• Właściwości urządzenia, na którym nastąpiło wykrycie.
• Szczegóły alertu, w zależności od technologii, która wykryła alert:
  • Jeśli alert został wykryty przez platformę Endpoint Protection Platform (EPP) — wykres łańcucha rozprzestrzeniania się zagrożeń, aby przeprowadzić Root-Cause Analysis i podjąć środki zaradcze.
  • Jeśli alert został wykryty przez skanowanie według wskaźników włamania (skanowanie IoC) — obiekty wykryte za pomocą IoC i automatyczne środki reagowania, które zostały podjęte.
• Tabela z alertami Endpoint Detection and Response.

Tabela Endpoint Detection and Response

W celu wyświetlenia tabeli z alertami Endpoint Detection and Response:

1. Otwórz Konsolę zarządzającą Kaspersky Endpoint Security Cloud.
2. Otwórz okno Alerty Endpoint Detection and Response w dowolny z następujących sposobów:
   • W sekcji Panel informacyjny kliknij zakładkę Monitorowanie, a następnie kliknij odnośnik Przejdź do listy alertów w widżecie Endpoint Detection and Response.
   • Wybierz sekcję Zarządzanie ochroną → Endpoint Detection and Response.
3. Jeśli moduł Endpoint Detection and Response jest wyłączony, zacznij korzystać z tej funkcji.

   Tabela wyświetla żądane informacje.

4. Przefiltruj wyświetlane rekordy, wybierając wymagane wartości z list rozwijanych:
   • Data wykrycia

     Okres, w którym wystąpiły alerty.

   • Stan

     Stan alertów w zależności od technologii, która je wykryła:

     • Jeśli alert został wykryty przez EPP — czy wykryte obiekty zostały wyleczony czy nie wyleczone (usunięte).
     • Jeśli alert został wykryty przez skanowanie IoC — niezależnie od tego, czy wykryto tylko IoC, czy też zostały wykonane automatyczne działania.
   • Technologia

     Technologia, która wykryła alerty: EPP lub skanowanie IoC.

Z poziomu wyświetlanej tabeli możesz przejść do następujących elementów:

• Właściwości urządzenia, na którym nastąpiło wykrycie.
• Ustawienia profilu zabezpieczeń, które przypisano do użytkownika będącego właścicielem urządzenia, którego dotyczy problem.
• Szczegóły alertu, w zależności od technologii, która wykryła alert:
  • Jeśli alert został wykryty przez platformę Endpoint Protection Platform (EPP) — wykres łańcucha rozprzestrzeniania się zagrożeń, aby przeprowadzić Root-Cause Analysis i podjąć środki zaradcze.
  • Jeśli alert został wykryty przez skanowanie według wskaźników włamania (skanowanie IoC) — obiekty wykryte za pomocą IoC i automatyczne środki reagowania, które zostały podjęte.

Można także wyeksportować informacje o wszystkich bieżących alertach do pliku CSV.