Запуск действий по реагированию при работе с событиями
Вы можете запускать действия по реагированию на устройстве, используя зарегистрированное событие, которое связано с этим устройством. Для запуска действия по реагированию событие должно быть связано с устройством, на котором установлена программа Kaspersky Endpoint Agent, подготовленная по сценарию подготовки к получению данных от EPP-приложений.
При работе с событиями вы можете запускать следующие действия по реагированию:
- Изолировать устройство от сети – для любого события, если оно связано с устройством, на котором установлена программа Kaspersky Endpoint Agent.
- Запретить запуск, Поместить на карантин – для события по технологии EPP, если для этого события построена цепочка развития угрозы в Kaspersky Endpoint Agent и при этом в цепочке развития угрозы есть событие активности с объектом обнаружения угрозы и типом Создание файла или Запуск процесса. Для таких событий вы также можете запускать действие Изолировать устройство от сети.
Для событий, являющихся инцидентами EDR, вы можете запускать действия Запретить запуск и Поместить на карантин как для объекта обнаружения угрозы, так и для объектов, указанных в других событиях активности с типом Создание файла или Запуск процесса.
Чтобы изолировать от сети устройство, связанное с событием:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите нужное событие в разделе События на вкладке События и инциденты.
Вы можете выбрать как событие, которое является инцидентом EDR, так и любое событие, связанное с устройством, на котором установлена программа Kaspersky Endpoint Agent.
В правой части окна веб-интерфейса появится область деталей.
- В области деталей откройте раскрывающийся список Реагирование на угрозы и выберите пункт Изолировать устройство от сети.
Откроется окно с запросом подтверждения.
- В окне запроса подтвердите запуск действия по реагированию.
Программа зарегистрирует новое действие по реагированию. Сведения о выполнении этого действия вы можете просмотреть в разделе События на вкладке Действия по реагированию.
Чтобы запретить выполнение объекта обнаружения угрозы или поместить этот объект на карантин:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите нужное событие в разделе События на вкладке События и инциденты.
Вы можете выбрать событие, которое является инцидентом EDR и при этом в цепочке развития угрозы есть событие активности с объектом обнаружения угрозы и типом Создание файла или Запуск процесса.
В правой части окна веб-интерфейса появится область деталей.
- В области деталей откройте раскрывающийся список Реагирование на угрозы и выберите нужный пункт:
- Запретить запуск – если вы хотите запретить выполнение объекта обнаружения угрозы.
- Поместить на карантин – если вы хотите поместить на карантин объект обнаружения угрозы.
Откроется окно с запросом подтверждения.
- В окне запроса подтвердите запуск действия по реагированию.
Программа зарегистрирует новое действие по реагированию. Сведения о выполнении этого действия вы можете просмотреть в разделе События на вкладке Действия по реагированию.
Чтобы запретить выполнение или поместить на карантин объект, указанный в любом событии активности с типом Создание файла или Запуск процесса в цепочке развития угрозы:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите нужное событие в разделе События на вкладке События и инциденты.
Вы можете выбрать событие, которое является инцидентом EDR.
В правой части окна веб-интерфейса появится область деталей.
- В области деталей перейдите на вкладку Все события активности и выберите нужное событие активности.
Вы можете выбрать любое событие активности с типом Создание файла или Запуск процесса. Ключевое событие активности (с объектом обнаружения угрозы) отмечено значком Обнаружение.
- В открывшемся окне деталей события активности нажмите на нужную кнопку:
- Запретить запуск – если вы хотите запретить выполнение объекта, указанного в выбранном событии активности.
- Поместить на карантин – если вы хотите поместить на карантин объект, указанный в выбранном событии активности.
Откроется окно с запросом подтверждения.
- В окне запроса подтвердите запуск действия по реагированию.
Программа зарегистрирует новое действие по реагированию. Сведения о выполнении этого действия вы можете просмотреть в разделе События на вкладке Действия по реагированию.