Ręczne wykonywanie działań
24 maja 2023
ID 231875
Podczas analizowania szczegółów alertów możesz chcieć ręcznie wykonać działania lub dostosować funkcję Endpoint Detection and Response.
Możesz podjąć następujące kroki:
- Odizoluj urządzenie, którego dotyczy problem, od sieci.
- Dodaj wskaźniki włamania (IoC) wykrytego zagrożenia do regularnego skanowania w poszukiwaniu zagrożeń na urządzeniach (dotyczy tylko alertów wykrytych przez EPP).
- Zapobiegnij wykonaniu wykrytego obiektu.
- Przenieś kopię wykrytego obiektu do Kwarantanny i usuń obiekt.
W celu odizolowania urządzenia od sieci:
- W komunikacie o wykryciu i przetworzeniu obiektu wskaż poziomy wielokropek, a następnie kliknij Izoluj urządzenie.
- Wybierz wymagany czas trwania izolacji.
- Kliknij przycisk Izoluj urządzenie, aby odizolować urządzenie.
Urządzenie jest odizolowane od sieci.
To ustawienie zastępuje ogólne ustawienia izolacji i jest stosowane tylko do bieżącego urządzenia. Ogólne ustawienia izolacji nie są zmieniane.
W celu dodania IoC wykrytego zagrożenia do regularnego skanowania w poszukiwaniu zagrożeń:
- W sekcji ze szczegółowymi informacjami o wykrytym obiekcie kliknij przycisk Dodaj skanowanie IOC lub wskaż poziomy wielokropek, a następnie kliknij Dodaj skanowanie IOC.
- W razie potrzeby edytuj opis i nazwę zagrożenia. Domyślnie zagrożenie nosi nazwę „
[Threat Graph]
<Nazwa zagrożenia z alertu EPP>
”. - W razie potrzeby edytuj kryteria wykrywania (operator logiczny):
- Dopasuj DOWOLNE z poniższych, jeśli chcesz, aby alert został wyświetlony, jeśli na urządzeniu zostanie znaleziony co najmniej jeden z IoC (operator logiczny OR).
- Dopasuj WSZYSTKIE z poniższych, jeśli chcesz, aby alert został wyświetlony tylko wtedy, gdy wszystkie IoC zostaną jednocześnie znalezione na urządzeniu (operator logiczny AND).
- W razie potrzeby edytuj listę IoC. Lista IoC składa się z dwóch części:
- Nowe wskaźniki włamania (IoC)
IoC, które są pobierane z alertu.
- Poprzednio dodane wskaźniki włamania (IoC)
IoC, które zostały wcześniej dodane do tego samego zagrożenia (jeśli istnieją).
- Nowe wskaźniki włamania (IoC)
- W razie potrzeby usuń dowolny z IoC, klikając ikonę Usuń () obok.
- Kliknij przycisk Uruchom skanowanie, aby zapisać i uruchomić skanowanie IoC.
Zmieniono ustawienia skanowania IoC. Skanowanie na urządzeniach zostało wznowione.
W celu zapobieżenia wykonaniu wykrytego obiektu:
- Wykonaj jedną z następujących czynności:
- [W przypadku alertu wykrytego przez EPP] W sekcji zawierającej szczegółowe informacje o wykrytym obiekcie kliknij przycisk Zapobiegaj wykonywaniu lub wskaż poziomy wielokropek, a następnie kliknij opcję Zapobiegaj wykonywaniu.
- [W przypadku alertu wykrytego przez skanowanie IoC] W sekcji zawierającej szczegółowe informacje o wykrytym IoC, obok opcji Ręczna odpowiedź: kliknij Akcje, a następnie wybierz Zapobiegaj wykonywaniu.
- Przejrzyj właściwości planowanej operacji: niechciane obiekty, których wykonanie zostanie uniemożliwione oraz działania, które zostaną podjęte po wykonaniu lub otwarciu tych obiektów.
- Kliknij Potwierdź, aby potwierdzić działanie.
Wykryty obiekt jest dodawany do reguł ochrony przed wykonywaniem.
W celu przeniesienia kopii wykrytego obiektu do Kwarantanny i usunięcia obiektu:
- Wykonaj jedną z następujących czynności:
- [W przypadku alertu wykrytego przez EPP] W sekcji zawierającej szczegółowe informacje o wykrytym obiekcie kliknij przycisk Przenieś do Kwarantanny lub wskaż poziomy wielokropek, a następnie kliknij opcję Przenieś do Kwarantanny.
- [W przypadku alertu wykrytego przez skanowanie IoC] W sekcji ze szczegółowymi informacjami o wykrytym IoC, obok opcji Ręczna odpowiedź: kliknij Akcje, a następnie wybierz Przenieś do Kwarantanny.
- Przejrzyj właściwości planowanej operacji: plik, który zostanie przeniesiony do Kwarantanny i urządzenie, na którym to nastąpi.
- Kliknij Przenieś, aby potwierdzić działanie.
Kaspersky Endpoint Security for Windows najpierw tworzy kopię zapasową szkodliwego obiektu znalezionego na urządzeniu na wypadek, gdyby obiekt musiał zostać przywrócony w późniejszym czasie. Kopia zapasowa zostaje przeniesiona do Kwarantanny. Następnie Kaspersky Endpoint Security for Windows usuwa obiekt.