Рекомендации по обработке событий
06 сентября 2024
ID 247647
В окне события в рамке между деревом событий и текстовой информацией для пользователей с ролью Старший сотрудник службы безопасности отображаются рекомендации по обработке этого события.
Вы можете выполнить следующие рекомендации:
- Изолировать <имя хоста> – изолировать хост с компонентом Endpoint Agent, на котором обнаружено событие, от сети. Применяется для всех типов событий.
- Создать правило запрета – запретить запуск файла, обнаруженного в событии. Применяется для всех типов событий кроме Журнал событий ОС.
- Создать задачу – создать задачу. Применяется для всех типов событий кроме Журнал событий ОС.
Кроме того, вы можете выполнить действия по обработке события по ссылкам с именем файла, путем к файлу, MD5-хешем, SHA256-хешем файла и именем хоста при просмотре текстовой информации о событии в нижней части окна.
По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Выполнить задачи:
- Скопировать значение в буфер.
По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Добавить в фильтр.
- Исключить из фильтра.
- Найти на TIP.
- Найти события.
- Найти обнаружения.
- Скопировать значение в буфер.
По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Найти на TIP.
- Найти на virustotal.com.
- Найти в Хранилище.
- Создать правило запрета.
- Скопировать значение в буфер.
По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Выполнить задачи:
- Скопировать значение в буфер.
Для пользователей с ролью Аудитор и Сотрудник службы безопасности рекомендации по обработке событий не отображаются.