Прерывание процессов
Действие по реагированию Прервать процесс позволяет удаленно завершать процессы на устройствах. Вы можете выполнить действие по реагированию Прервать процесс для наблюдаемых объектов или активов.
Вы можете запустить действие по реагированию Прервать процесс одним из следующих способов:
- в деталях алерта или инцидента;
- в сведениях об устройстве.
- из графа расследования.
Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.
Чтобы выполнить действие по реагированию Прервать процесс, вам должна быть присвоена одна из следующих XDR-ролей: Главный администратор, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Администратор тенанта.
Запуск действия по реагированию может занять до 15 минут из-за интервала синхронизации между управляемым устройством и Сервером администрирования.
Запуск процесса завершения для наблюдаемых объектов
Чтобы запустить процесс завершения для наблюдаемых объектов:
- Выполните одно из следующих действий:
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором алерта.
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором инцидента.
- В открывшемся окне выберите вкладку Наблюдаемые объекты.
- В списке наблюдаемых объектов выберите один или несколько наблюдаемых объектов, для которых вы хотите прервать процесс. Наблюдаемые объекты могут включать:
- MD5
- SHA256
- Нажмите на кнопку Прервать процесс.
- В открывшейся панели Прервать процесс выберите активы, для которых вы хотите прервать процесс.
- Нажмите на кнопку Прервать.
Процесс прерван.
Запуск процесса завершения для активов
Чтобы выполнить действие по реагированию Прервать процесс для активов:
- Выполните одно из следующих действий:
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором алерта.
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором инцидента.
- В открывшемся окне выберите вкладку Активы.
- В списке активов выберите один или несколько нужных устройств.
- Нажмите на кнопку Выбрать действие по реагированию, а затем на кнопку Прервать процесс.
- В открывшейся панели Прервать процесс укажите один из следующих параметров:
- PID. Идентификатор процесса.
Для действия по реагированию Прервать процесс по PID с фиксированной областью, если активы действия по реагированию принадлежат одному Серверу администрирования, вы можете запустить это действие по реагированию только для одного актива за раз.
Для действия по реагированию Прервать процесс PID с изменяемой областью действия это действие по реагированию выполнить невозможно.
- Хеш (алгоритм хеширования MD5 или SHA256) и Путь к файлу процесса.
- PID. Идентификатор процесса.
- Нажмите на кнопку Прервать.
Процесс прерван.
Запуск процесса завершения из графа расследования
Параметр доступен, если граф расследования построен.
Чтобы выполнить действия Завершить процесс из графа расследования:
- В главном окне программы перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на ссылку с нужным идентификатором инцидента.
- В открывшемся окне Сведения об инциденте нажмите на кнопку Посмотреть на графе.
Откроется окно графа расследования.
- Нажмите на имя нужного алерта, а затем нажмите на Просмотреть информацию.
- В открывшемся окне выберите вкладку Наблюдаемые объекты.
- В списке наблюдаемых объектов выберите один или несколько наблюдаемых объектов, для которых вы хотите прервать процесс. Наблюдаемые объекты могут включать:
- MD5
- SHA256
- Нажмите на кнопку Прервать процесс.
- В открывшейся панели Прервать процесс выберите активы, для которых вы хотите прервать процесс.
- Нажмите на кнопку Прервать.
Процесс прерван.
