Просмотр информации об обнаружениях Endpoint Detection and Response
16 августа 2024
ID 231765
Информация об обнаружениях Endpoint Detection and Response доступна для просмотра в виджете и в таблице. В виджете отображается до 10 обнаружений, а в таблице – до 1000.
Если вы включили уведомления о событиях Обнаружен IOC, в некоторых случаях вы будете получать уведомление об обнаружении IoC прежде, чем соответствующее оповещение появится в окне Kaspersky Endpoint Security Cloud. Это связано с тем, что события происходят во время поиска IoC, а обнаружения появляются только после завершения проверки.
Виджет Endpoint Detection and Response
Чтобы просмотреть виджет Endpoint Detection and Response, выполните следующие действия:
- Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
- В разделе Панель информации перейдите на закладку Мониторинг.
- Если функция Endpoint Detection and Response выключена, включите ее.
В виджете отображаются запрашиваемые данные.
Из отображаемого виджета можно перейти к следующим данным:
- Свойства устройства, на котором произошло обнаружение.
- Сведения об обнаружениях, в зависимости от используемой технологии:
- Если обнаружение выполнено Endpoint Protection Platform (EPP) – граф цепочки развития угроз для анализа первопричин атаки и выполнения действий по реагированию.
- Если обнаружение выполнено в процессе поиска индикаторов компрометации (Поиск IOC) – объекты, обнаруженные с помощью индикаторов компрометации и автоматически выполняемые действия по реагированию.
- Таблица с обнаружениями Endpoint Detection and Response.
Таблица Endpoint Detection and Response
Чтобы просмотреть данные в таблице с обнаружениями Endpoint Detection and Response, выполните следующие действия:
- Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
- Откройте окно Обнаружения Endpoint Detection and Response одним из следующих способов:
- В разделе Панель информации откройте закладку Мониторинг, а затем перейдите по ссылке Перейти к списку обнаружений в виджете Endpoint Detection and Response.
- Выберите раздел Управление безопасностью → Endpoint Detection and Response.
- Если функция Endpoint Detection and Response выключена, включите ее.
В таблице отображаются запрашиваемые данные.
- Отфильтруйте отображаемые записи, выбрав требуемые значения в раскрывающихся списках:
- Дата обнаружения
Период, в течение которого происходили обнаружения.
- Статус
Статус обнаружений, в зависимости от используемой технологии:
- Если обнаружение выполнено EPP – были ли обнаруженные объекты вылечены или удалены (не вылечены).
- Если обнаружение выполнено в процессе Поиска IOC – были ли индикаторы компрометации только обнаружены или также были автоматически выполнены действия по реагированию.
- Технология
Технология, выполнившая обнаружение: EPP или Поиск IOC.
- Дата обнаружения
Из отображаемой таблицы можно перейти к следующим данным:
- Свойства устройства, на котором произошло обнаружение.
- Параметры профиля безопасности, назначенного пользователю, которому принадлежит затронутое устройство.
- Сведения об обнаружениях, в зависимости от используемой технологии:
- Если обнаружение выполнено Endpoint Protection Platform (EPP) – граф цепочки развития угроз для анализа первопричин атаки и выполнения действий по реагированию.
- Если обнаружение выполнено в процессе поиска индикаторов компрометации (Поиск IOC) – объекты, обнаруженные с помощью индикаторов компрометации и автоматически выполняемые действия по реагированию.
Кроме того, можно экспортировать информацию обо всех текущих обнаружениях в файл CSV.