Definiowanie ustawień skanowania IoC
24 maja 2023
ID 231841
Konfigurując regularne skanowania w poszukiwaniu zagrożeń na urządzeniach, możesz zdefiniować następujące ustawienia skanowania: terminarz, obszar i automatyczne reakcje.
W celu zdefiniowania ustawienia skanowania IoC:
- Otwórz Konsolę zarządzającą Kaspersky Endpoint Security Cloud.
- Wybierz sekcję Zarządzanie ochroną → Endpoint Detection and Response.
- Kliknij przycisk Skanowanie IoC.
- Na kafelku wymaganego skanowania wskaż pionowy wielokropek, a następnie kliknij Zdefiniuj ustawienia skanowania.
Zostanie otwarte okno Ustawienia skanowania.
- Na liście Terminarz wybierz żądaną wartość:
- Nie określono (domyślnie)
Skanowanie IoC nigdy nie jest uruchamiane.
- Codziennie
Określ czas, w którym skanowanie IoC musi zostać uruchomione.
- Co tydzień
Określ dzień tygodnia oraz godzinę uruchomienia Skanowania IoC.
Skanowanie niestandardowe będzie uruchamiane o określonej godzinie w strefie czasowej UTC±00:00. Skanowanie proaktywne i Skanowanie reaktywne zostanie uruchomione o określonej godzinie w strefie czasowej systemu operacyjnego urządzenia. Jeśli chronione urządzenie jest w trybie offline w zaplanowanym czasie, zadanie zostanie uruchomione, gdy tylko urządzenie przejdzie w tryb online.
- Nie określono (domyślnie)
- W Obszar skanowania kliknij odnośnik Modyfikuj, aby określić listę urządzeń, na których ma zostać uruchomione skanowanie IoC.
Zaznacz pola wyboru obok urządzeń, które mają zostać uwzględnione, i odznacz pola wyboru obok urządzeń, które mają zostać wykluczone. Kliknij Zapisz, aby zapisać zmiany.
To ustawienie jest dostępne tylko w przypadku Skanowanie niestandardowe. W przypadku innych skanowań (Skanowanie proaktywne i Skanowanie reaktywne) obszar obejmuje wszystkie urządzenia użytkowników z systemem Windows. Nie można go modyfikować.
Wszystkie nowe urządzenia, które zostaną dodane w przyszłości, zostaną automatycznie uwzględnione w obszarze skanowania. Jeśli więc chcesz wykluczyć je z obszaru skanowania niestandardowego, musisz to zrobić ręcznie.
- W obszarze Akcje w odpowiedzi wybierz działania, które mają zostać podjęte w przypadku wykrycia określonych zagrożeń:
- Tylko alert
Zdarzenie wykrycia zagrożenia jest dodawane do Dziennika zdarzeń. Żadne inne działania nie są podejmowane.
- Alert i odpowiedź
Zdarzenie wykrycia zagrożenia jest dodawane do Dziennika zdarzeń. Dodatkowo podejmowane są wybrane działania:
- Uruchom skanowanie obszarów krytycznych
Kaspersky Endpoint Security for Windows skanuje pamięć jądra, uruchomione procesy i sektory startowe dysku urządzenia, którego dotyczy problem.
- Przenieś kopię do Kwarantanny i usuń obiekt
Kaspersky Endpoint Security for Windows najpierw tworzy kopię zapasową szkodliwego obiektu znalezionego na urządzeniu na wypadek, gdyby obiekt musiał zostać przywrócony w późniejszym czasie. Kopia zapasowa zostaje przeniesiona do Kwarantanny. Następnie Kaspersky Endpoint Security for Windows usuwa obiekt.
- Odizoluj urządzenie od sieci
Kaspersky Endpoint Security for Windows izoluje urządzenie od sieci, aby zapobiec rozprzestrzenianiu się zagrożenia lub ujawnieniu poufnych informacji. Aby skonfigurować czas trwania izolacji, kliknij Ustawienia, a następnie wybierz żądaną wartość.
Czas trwania izolacji jest wspólny dla wszystkich trzech skanowań IoC. Jeśli zmienisz wartość w ustawieniach jednego skanowania, zmiana będzie propagowana w innych skanowaniach.
Możesz też skonfigurować czas trwania izolacji, wybierając sekcję Zarządzanie ochroną → Endpoint Detection and Response, a następnie klikając Ustawienia odpowiedzi → Izolacja od sieci.
- Uruchom skanowanie obszarów krytycznych
- Tylko alert
- Kliknij Zapisz, aby zapisać zmiany.
Zdefiniowane są ustawienia wybranego skanowania IoC.