Изменение статуса авторизации устройств

Вы можете изменить статус авторизации устройства, когда анализ алерта или инцидента показывает, что уровень защиты устройства низкий или устройство наносит вред вашей инфраструктуре.

Это действие по реагированию выполняется на устройствах с установленным KICS for Networks.

Вы можете изменить статус авторизации устройства одним из следующих способов:

• из деталей алерта или инцидента;
• из свойств устройства;
• из телеметрии события;
• из графа расследования.

Вы также можете настроить автоматический запуск действия по реагированию при создании или изменении плейбука.

Чтобы изменить статус авторизации устройства, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня.

Изменение статуса авторизации устройств из деталей алерта или инцидента

Чтобы изменить статус авторизации устройства из деталей алерта или инцидента:

1. Выполните одно из следующих действий:
   • В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, статус авторизации которого необходимо изменить.
   • В главном окне программы перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, статус авторизации которого необходимо изменить.
2. В открывшемся окне выберите вкладку Активы.
3. Установите флажок рядом с устройством, статус авторизации которого нужно изменить.

   При необходимости вы можете выбрать несколько устройств.

4. В раскрывающемся списке Выбрать действия по реагированию выберите Изменить статус авторизации.
5. В открывшемся окне в правой части экрана выберите новый статус устройства (авторизован или не авторизован) и нажмите на кнопку Изменить.

   Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Изменение статуса авторизации устройств из сведений об устройстве

Чтобы изменить статус авторизации устройства из сведений об устройстве:

1. Выполните одно из следующих действий:
   • В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, статус авторизации которого необходимо изменить.
   • В главном окне программы перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, статус авторизации которого необходимо изменить.
2. В открывшемся окне выберите вкладку Активы.
3. Нажмите на имя требуемого устройства и в раскрывающемся списке выберите Просмотреть свойства.
4. В раскрывающемся списке Выбрать действия по реагированию выберите Изменить статус авторизации.
5. В открывшемся окне в правой части экрана выберите новый статус устройства (авторизован или не авторизован) и нажмите на кнопку Изменить.

   Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Изменение статуса авторизации устройств из телеметрии события

Чтобы изменить статус авторизации устройства из телеметрии события:

1. В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты. В столбце Идентификатор нажмите на идентификатор алерта, в котором указано устройство, статус авторизации которого необходимо изменить.
2. В открывшемся окне выберите вкладку Подробнее и выполните одно из следующих действий:
   • Нажмите на название нужного события и выберите устройство.
   • Нажмите на кнопку Поиск угроз, чтобы перейти в раздел Поиск угроз и выберите нужное устройство.
3. В раскрывающемся списке Выбрать действия по реагированию выберите Изменить статус авторизации.
4. В открывшемся окне в правой части экрана выберите новый статус устройства (авторизован или не авторизован) и нажмите на кнопку Изменить.

   Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Изменение статуса авторизации устройств из графа расследования

Этот параметр доступен, если граф расследования построен.

Чтобы изменить статус авторизации устройства из графа расследования:

1. В главном окне программы перейдите в раздел Мониторинг и отчеты → Инциденты. В столбце Идентификатор нажмите на идентификатор инцидента, в котором указано устройство, статус авторизации которого необходимо изменить.
2. В открывшемся окне нажмите на кнопку Посмотреть на графе.

   Откроется окно графа расследования.

3. Нажмите на имя устройства, чтобы открыть свойства устройства.
4. В раскрывающемся списке Выбрать действия по реагированию выберите Изменить статус авторизации.
5. В открывшемся окне в правой части экрана выберите новый статус устройства (авторизован или не авторизован) и нажмите на кнопку Изменить.

   Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Выбранный статус авторизации устройства отображается в карточке алерта или инцидента на вкладке Активы → столбец Статус авторизации.