Выполнения действий по реагированию вручную
При анализе информации об обнаружениях можно вручную выполнять действия по реагированию или настроить функцию Endpoint Detection and Response.
Вы можете выполнить следующие действия по реагированию:
- Изолировать затронутое устройство от сети.
- Добавьте индикаторы компрометации (IOC) обнаруженной угрозы в регулярный поиск угроз на устройствах (применимо только к обнаружениям, выполняемым EPP).
- Запретить запуск обнаруженного объекта.
- Поместить копию обнаруженного объекта в Карантин и удалить объект.
Чтобы изолировать устройство от сети, выполните следующие действия:
- В сообщении об обнаружении и обработке объекта наведите указатель на три точки по горизонтали, а затем нажмите Изолировать устройство.
- Выберите продолжительность изоляции.
- Нажмите на кнопку Изолировать устройство, чтобы изолировать устройство.
Устройство будет изолировано от сети.
Этот параметр переопределяет общие параметры изоляции и применяется только к текущему устройству. Общие параметры изоляции не изменятся.
Чтобы добавить индикаторы компрометации обнаруженной угрозы в обычный поиск угроз, выполните следующие действия:
- В разделе с подробной информацией об обнаруженном объекте нажмите на кнопку Добавить в Поиск IOC или наведите указатель на три точки по горизонтали, а затем нажмите Добавить в Поиск IOC.
- При необходимости измените имя и описание угрозы. По умолчанию угрозе присваивается имя "
[Threat Graph]<Имя угрозы из обнаружения EPP>". - При необходимости измените критерий обнаружения (логический оператор):
- Совпадение с ЛЮБЫМ из следующих, чтобы обнаружение возникало, если на устройстве найден хотя бы один индикатор компрометации (логический оператор ИЛИ).
- Совпадение со ВСЕМИ следующими, чтобы обнаружение возникало, если на устройстве найдены одновременно все индикаторы компрометации (логический оператор И).
- При необходимости измените список IOC. Список IOC состоит из двух частей:
- Новые IOC
IOC, полученные из обнаружения
- Ранее добавленные IOC
IOC, добавленные к этой угрозе ранее (если есть).
- Новые IOC
- При необходимости удалите любой IOC по значку Удалить (
) рядом с ним. - Нажмите на кнопку Запустить поиск, чтобы сохранить изменения и запустить поиск IOC.
Параметры Поиска IOC изменены. Поиск IOC на устройствах будет перезапущен.
Чтобы запретить выполнение обнаруженного объекта:
- Выполните одно из следующих действий:
- [Для обнаружений, выполненных EPP] В разделе с подробной информацией об обнаруженном объекте нажмите на кнопку Запретить запуск, или наведите указатель на три точки по горизонтали, а затем нажмите Запретить запуск.
- [Для обнаружений в результате поиска IOC] В разделе с подробной информацией об обнаруженном IOC рядом с пунктом Реагирование вручную нажмите Действия и выберите Запретить запуск.
- Просмотрите параметры запланированного действия: нежелательные объекты, запуск которых будет запрещен, и действие, которое будет выполнено при запуске или открытии этих объектов.
- Нажмите Подтвердить, чтобы подтвердить выполняемое действие.
Обнаруженный объект будет добавлен в правила запрета запуска.
Чтобы поместить копию обнаруженного объекта в Карантин и удалить объект:
- Выполните одно из следующих действий:
- [Для обнаружений, выполненных EPP] В разделе с подробной информацией об обнаруженном объекте нажмите на кнопку Поместить на карантин, или наведите указатель на три точки по горизонтали, а затем нажмите Поместить на карантин.
- [Для обнаружений в результате поиска IOC] В разделе с подробной информацией об обнаруженном IOC рядом с пунктом Реагирование вручную нажмите Действия и выберите Поместить на карантин.
- Просмотрите параметры запланированного действия: файл, который будет перемещен в Карантин, и устройство, на котором это произойдет.
- Нажмите Переместить, чтобы подтвердить выполняемое действие.
Kaspersky Endpoint Security для Windows сначала создает резервную копию вредоносного объекта, обнаруженного на устройстве, на случай, если впоследствии объект потребуется восстановить. Резервная копия перемещается в карантин. Затем Kaspersky Endpoint Security для Windows удаляет объект.