Чтобы предотвратить распространение угрозы на зараженном устройстве, вы можете запустить поиск вредоносного ПО одним из следующих способов:
Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.
Чтобы выполнить действие по реагированию Поиск вредоносного ПО, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.
Запуск действия по реагированию может занять до 15 минут из-за интервала синхронизации между управляемым устройством и Сервером администрирования.
Запуск поиска вредоносного ПО из деталей алерта или инцидента
Чтобы запустить поиск вредоносного ПО на устройстве из деталей алерта или инцидента:
При необходимости вы можете выбрать несколько устройств.
В правой части экрана откроется окно Антивирусная проверка.
Вы можете включить переключатель Сетевые диски, чтобы включить в проверку сетевые устройства. По умолчанию параметр выключен.
Полная проверка может замедлить работу устройства из-за повышенной нагрузки на его операционную систему.
Если вы выберете этот тип, выполняется проверка памяти ядра, запущенных процессов и загрузочных секторов диска.
В поле Указать путь к файлу укажите путь к файлу, который вы хотите проверить. Если вы хотите задать несколько путей, нажмите на кнопку Добавить путь и укажите путь.
Выбранный тип поиска вредоносного ПО запущен.
Запуск поиска вредоносного ПО из сведений об устройстве
Чтобы запустить поиск вредоносного ПО из сведений об устройстве:
При необходимости вы можете нажать на кнопку Изменить в KUMA, чтобы изменить параметры устройства в Консоли KUMA.
В правой части экрана откроется окно Антивирусная проверка.
Выбранный тип поиска вредоносного ПО запущен.
Поиск вредоносного ПО из графа расследования
Этот параметр доступен, если граф расследования построен.
Чтобы запустить поиск вредоносного ПО на устройстве из графа расследования:
В правой части экрана откроется окно Антивирусная проверка.
Выбранный тип поиска вредоносного ПО запущен.
Если поиск вредоносного ПО завершен успешно, на экране отображается соответствующее сообщение, а в таблице алертов или в таблице инцидентов отображается статус действия Успешно. В противном случае отображается сообщение об ошибке, а алерт или инцидент отображается со статусом действия Ошибка.
После завершения поиска вредоносного ПО вы можете просмотреть результат.
В начало