Поддержка

Поддержка приложений для бизнеса

Kaspersky Industrial CyberSecurity for Networks

Администрирование Kaspersky Industrial CyberSecurity for Networks

Управление действиями по реагированию в Kaspersky Industrial CyberSecurity for Networks

Запуск действий по реагированию при работе с событиями

Kaspersky Industrial CyberSecurity for Networks
Нет результатов
Онлайн-справка
FAQ Скачать Форум Запрос в поддержку Утилиты для лечения Видео о продуктах

Запуск действий по реагированию при работе с событиями

22 марта 2024

ID 264559

Скачать PDF

Вы можете запускать действия по реагированию на устройстве, используя зарегистрированное событие, которое связано с этим устройством. Для запуска действия по реагированию событие должно быть связано с устройством, на котором установлена программа Kaspersky Endpoint Agent, подготовленная по сценарию подготовки к получению данных от EPP-приложений.

При работе с событиями вы можете запускать следующие действия по реагированию:

  • Изолировать устройство от сети – для любого события, если оно связано с устройством, на котором установлена программа Kaspersky Endpoint Agent.
  • Запретить запуск, Поместить на карантин – для события по технологии EPP, если для этого события построена цепочка развития угрозы в Kaspersky Endpoint Agent и при этом в цепочке развития угрозы есть событие активности с объектом обнаружения угрозы и типом Создание файла или Запуск процесса. Для таких событий вы также можете запускать действие Изолировать устройство от сети.

Для событий, являющихся инцидентами EDR, вы можете запускать действия Запретить запуск и Поместить на карантин как для объекта обнаружения угрозы, так и для объектов, указанных в других событиях активности с типом Создание файла или Запуск процесса.

Чтобы изолировать от сети устройство, связанное с событием:

  1. Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
  2. Выберите нужное событие в разделе События на вкладке События и инциденты.

    Вы можете выбрать как событие, которое является инцидентом EDR, так и любое событие, связанное с устройством, на котором установлена программа Kaspersky Endpoint Agent.

    В правой части окна веб-интерфейса появится область деталей.

  3. В области деталей откройте раскрывающийся список Реагирование на угрозы и выберите пункт Изолировать устройство от сети.

    Откроется окно с запросом подтверждения.

  4. В окне запроса подтвердите запуск действия по реагированию.

Программа зарегистрирует новое действие по реагированию. Сведения о выполнении этого действия вы можете просмотреть в разделе События на вкладке Действия по реагированию.

Чтобы запретить выполнение объекта обнаружения угрозы или поместить этот объект на карантин:

  1. Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
  2. Выберите нужное событие в разделе События на вкладке События и инциденты.

    Вы можете выбрать событие, которое является инцидентом EDR и при этом в цепочке развития угрозы есть событие активности с объектом обнаружения угрозы и типом Создание файла или Запуск процесса.

    В правой части окна веб-интерфейса появится область деталей.

  3. В области деталей откройте раскрывающийся список Реагирование на угрозы и выберите нужный пункт:
    • Запретить запуск – если вы хотите запретить выполнение объекта обнаружения угрозы.
    • Поместить на карантин – если вы хотите поместить на карантин объект обнаружения угрозы.

    Откроется окно с запросом подтверждения.

  4. В окне запроса подтвердите запуск действия по реагированию.

Программа зарегистрирует новое действие по реагированию. Сведения о выполнении этого действия вы можете просмотреть в разделе События на вкладке Действия по реагированию.

Чтобы запретить выполнение или поместить на карантин объект, указанный в любом событии активности с типом Создание файла или Запуск процесса в цепочке развития угрозы:

  1. Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
  2. Выберите нужное событие в разделе События на вкладке События и инциденты.

    Вы можете выбрать событие, которое является инцидентом EDR.

    В правой части окна веб-интерфейса появится область деталей.

  3. В области деталей перейдите на вкладку Все события активности и выберите нужное событие активности.

    Вы можете выбрать любое событие активности с типом Создание файла или Запуск процесса. Ключевое событие активности (с объектом обнаружения угрозы) отмечено значком Обнаружение.

  4. В открывшемся окне деталей события активности нажмите на нужную кнопку:
    • Запретить запуск – если вы хотите запретить выполнение объекта, указанного в выбранном событии активности.
    • Поместить на карантин – если вы хотите поместить на карантин объект, указанный в выбранном событии активности.

    Откроется окно с запросом подтверждения.

  5. В окне запроса подтвердите запуск действия по реагированию.

Программа зарегистрирует новое действие по реагированию. Сведения о выполнении этого действия вы можете просмотреть в разделе События на вкладке Действия по реагированию.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!