Поддержка

Поддержка приложений для бизнеса

Kaspersky Symphony XDR: SMP

Реагирование на угрозы

Действия по реагированию

Перемещение файлов на карантин

Kaspersky Symphony XDR: Single Management Platform
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Перемещение файлов на карантин

15 мая 2024

ID 263987

Скачать PDF

Чтобы предотвратить распространение угрозы, вы можете переместить устройство, на котором находится файл, на карантин одним из следующих способов:

  • из деталей алерта или инцидента;
  • из свойств устройства;
  • из телеметрии события;
  • из графа расследования.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы переместить устройство, на котором находится файл, на карантин, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Запуск действия по реагированию может занять до 15 минут из-за интервала синхронизации между управляемым устройством и Сервером администрирования.

Реагирование из деталей алерта или инцидента

Чтобы переместить устройство на карантин из деталей алерта или инцидента:

  1. Выполните одно из следующих действий:
    • В главном окне программы перейдите в раздел Мониторинг и отчетыАлерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, которое требуется переместить.
    • В главном окне программы перейдите в раздел Мониторинг и отчетыИнциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, которое требуется переместить.
  2. В открывшемся окне выберите вкладку Активы.
  3. Установите флажок рядом с устройством, которое нужно переместить на карантин.

    При необходимости вы можете выбрать несколько устройств.

  4. В раскрывающемся списке Выбрать действия по реагированию выберите Поместить на карантин.
  5. В открывшемся окне в правой части экрана укажите следующую информацию в соответствующих полях:
    • Хеш файла.

      Вы можете выбрать SHA256 или MD5.

    • Путь к файлу.
  6. Нажмите на кнопку Переместить.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из сведений об устройстве

Чтобы переместить устройство на карантин из сведений об устройстве:

  1. Выполните одно из следующих действий:
    • В главном окне программы перейдите в раздел Мониторинг и отчетыАлерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, которое требуется переместить.
    • В главном окне программы перейдите в раздел Мониторинг и отчетыИнциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, которое требуется переместить.
  2. В открывшемся окне выберите вкладку Активы.
  3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.
  4. В раскрывающемся списке Выбрать действия по реагированию выберите Поместить на карантин.
  5. В открывшемся окне в правой части экрана укажите следующую информацию в соответствующих полях:
    • Хеш файла.

      Вы можете выбрать SHA256 или MD5.

    • Путь к файлу.
  6. Нажмите на кнопку Переместить.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из телеметрии события

Чтобы переместить устройство на карантин из телеметрии события:

  1. В главном окне программы перейдите в раздел Мониторинг и отчетыАлерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, которое требуется переместить.
  2. В открывшемся окне выберите вкладку Подробнее и выполните одно из следующих действий:
    • Нажмите на название нужного события и выберите устройство.
    • Нажмите на кнопку Поиск угроз, чтобы перейти в раздел Поиск угроз и выберите нужное устройство.

    Вы также можете выбрать вкладку Наблюдаемые объекты, установить флажок рядом с файлом, который вы хотите переместить на карантин, и нажать на кнопку Переместить на карантин.

  3. В раскрывающемся списке Выбрать действия по реагированию выберите Поместить на карантин.
  4. В открывшемся окне в правой части экрана укажите следующую информацию в соответствующих полях:
    • Хеш файла.

      Вы можете выбрать SHA256 или MD5.

    • Путь к файлу.
  5. Нажмите на кнопку Переместить.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Реагирование из графа расследования

Этот параметр доступен, если граф расследования построен.

Чтобы переместить устройство на карантин из графа расследования:

  1. В главном окне программы перейдите в раздел Мониторинг и отчетыИнциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, которое требуется переместить.
  2. В открывшемся окне нажмите на кнопку Посмотреть на графе.

    Откроется окно графа расследования.

  3. Нажмите на имя устройства, чтобы открыть свойства устройства.
  4. В раскрывающемся списке Выбрать действия по реагированию выберите Поместить на карантин.
  5. В открывшемся окне в правой части экрана укажите следующую информацию в соответствующих полях:
    • Хеш файла.

      Вы можете выбрать SHA256 или MD5.

    • Путь к файлу.
  6. Нажмите на кнопку Переместить.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!