Запуск поиска вредоносного ПО

Чтобы предотвратить распространение угрозы на зараженном устройстве, вы можете запустить поиск вредоносного ПО одним из следующих способов:

• из деталей алерта или инцидента;
• из сведений об устройстве;
• из графа расследования.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы выполнить действие по реагированию Поиск вредоносного ПО, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Запуск действия по реагированию может занять до 15 минут из-за интервала синхронизации между управляемым устройством и Сервером администрирования.

Запуск поиска вредоносного ПО из деталей алерта или инцидента

Чтобы запустить поиск вредоносного ПО на устройстве из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий устройство, которое требуется проверить.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, содержащий устройство, которое требуется проверить.
2. В открывшемся окне выберите вкладку Активы.
3. Установите флажок рядом с устройством, которое нужно проверить.

   При необходимости вы можете выбрать несколько устройств.

4. В раскрывающемся списке Выбрать действия по реагированию выберите Запустить проверку на вредоносное ПО.

   В правой части экрана откроется окно Антивирусная проверка.

5. Выберите тип поиска вредоносного ПО:
   • Полная проверка

     Вы можете включить переключатель Сетевые диски, чтобы включить в проверку сетевые устройства. По умолчанию параметр выключен.

     Полная проверка может замедлить работу устройства из-за повышенной нагрузки на его операционную систему.

   • Проверка важных областей

     Если вы выберете этот тип, выполняется проверка памяти ядра, запущенных процессов и загрузочных секторов диска.

   • Выборочная проверка

     В поле Указать путь к файлу укажите путь к файлу, который вы хотите проверить. Если вы хотите задать несколько путей, нажмите на кнопку Добавить путь и укажите путь.

6. Нажмите на кнопку Проверить.

Выбранный тип поиска вредоносного ПО запущен.

Запуск поиска вредоносного ПО из сведений об устройстве

Чтобы запустить поиск вредоносного ПО из сведений об устройстве:

1. Выполните одно из следующих действий:
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, содержащий устройство, которое требуется проверить.
   • В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, содержащий устройство, которое требуется проверить.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.

   При необходимости вы можете нажать на кнопку Изменить в KUMA, чтобы изменить параметры устройства в Консоли KUMA.

4. В раскрывающемся списке Выбрать действия по реагированию выберите Запустить проверку на вредоносное ПО.

   В правой части экрана откроется окно Антивирусная проверка.

5. Выберите тип поиска вредоносного ПО. Типы описаны на шаге 5 в разделе Запуск поиска вредоносного ПО из деталей алерта или инцидента.
6. Нажмите на кнопку Проверить.

Выбранный тип поиска вредоносного ПО запущен.

Поиск вредоносного ПО из графа расследования

Этот параметр доступен, если граф расследования построен.

Чтобы запустить поиск вредоносного ПО на устройстве из графа расследования:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, содержащий устройство, которое требуется проверить.
2. Нажмите на кнопку Посмотреть на графе.
3. В открывшемся графе расследования нажмите на имя устройства, чтобы открыть сведения об устройстве.
4. В раскрывающемся списке Выбрать действия по реагированию выберите Запустить проверку на вредоносное ПО.

   В правой части экрана откроется окно Антивирусная проверка.

5. Выберите тип поиска вредоносного ПО. Типы описаны на шаге 5 в разделе Запуск поиска вредоносного ПО из деталей алерта или инцидента.
6. Нажмите на кнопку Проверить.

Выбранный тип поиска вредоносного ПО запущен.

Если поиск вредоносного ПО завершен успешно, на экране отображается соответствующее сообщение, а в таблице алертов или в таблице инцидентов отображается статус действия Успешно. В противном случае отображается сообщение об ошибке, а алерт или инцидент отображается со статусом действия Ошибка.

После завершения поиска вредоносного ПО вы можете просмотреть результат.

В начало