Перемещение устройств в другую группу администрирования
В качестве действия по реагированию вы можете переместить устройство в другую группу администрирования Kaspersky SMP. Это может потребоваться, когда анализ алерта или инцидента показывает, что уровень защиты устройства низкий. При перемещении устройства в другую группу администрирования к устройству применяются групповые политики и задачи.
Группа администрирования, в которую вы перемещаете устройство, должна принадлежать тому же тенанту, что и устройство.
Вы можете переместить устройство в другую группу администрирования одним из следующих способов:
- из деталей алерта или инцидента;
- из сведений об устройстве;
- из графа расследования.
Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.
Чтобы переместить устройство в другую группу администрирования, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.
Запуск действия по реагированию может занять до 15 минут из-за интервала синхронизации между управляемым устройством и Сервером администрирования.
Перемещение устройства в другую группу администрирования из деталей алерта или инцидента
Чтобы переместить устройство в другую группу администрирования из деталей алерта или инцидента:
- Выполните одно из следующих действий:
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, которое требуется переместить.
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, которое требуется переместить.
- В открывшемся окне выберите вкладку Активы.
- Установите флажок рядом с устройством, которое нужно переместить в другую группу администрирования.
Вы можете выбрать несколько устройств, если они управляются одним Сервером администрирования: главным, подчиненным или виртуальным.
- В раскрывающемся списке Выбрать действия по реагированию выберите Переместить в группу.
В открывшемся окне Переместить в группу в правой части экрана отображаются группы администрирования Сервера администрирования, который управляет выбранным устройством.
- Выберите группу администрирования, в которую вы хотите переместить устройство или устройства, и нажмите на кнопку Переместить.
Устройство перемещено в выбранную группу администрирования. Соответствующее сообщение отобразится на экране.
Перемещение устройства в другую группу администрирования из сведений устройства
Чтобы переместить устройство в другую группу администрирования из сведений устройства:
- Выполните одно из следующих действий:
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, которое требуется переместить.
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, которое требуется переместить.
- В открывшемся окне выберите вкладку Активы.
- Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.
- В раскрывающемся списке Выбрать действия по реагированию выберите Переместить в группу.
В открывшемся окне Переместить в группу в правой части экрана отображаются группы администрирования Сервера администрирования, который управляет выбранным устройством.
- Выберите группу администрирования, в которую вы хотите переместить устройство или устройства, и нажмите на кнопку Переместить.
Устройство перемещено в выбранную группу администрирования. Соответствующее сообщение отобразится на экране.
Перемещение устройства в другую группу администрирования из графа расследования
Этот параметр доступен, если граф расследования построен.
Чтобы переместить устройство в другую группу администрирования из графа расследования:
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, которое требуется переместить.
- Нажмите на кнопку Посмотреть на графе.
- В открывшемся графе расследования нажмите на имя устройства, чтобы открыть сведения об устройстве.
- В раскрывающемся списке Выбрать действия по реагированию выберите Переместить в группу.
В открывшемся окне Переместить в группу в правой части экрана отображаются группы администрирования Сервера администрирования, который управляет выбранным устройством.
- Выберите группу администрирования, в которую вы хотите переместить устройство или устройства, и нажмите на кнопку Переместить.
Устройство перемещено в выбранную группу администрирования. Соответствующее сообщение отобразится на экране.