Рекомендации по обработке событий

В окне события в рамке между деревом событий и текстовой информацией для пользователей с ролью Старший сотрудник службы безопасности отображаются рекомендации по обработке этого события.

Вы можете выполнить следующие рекомендации:

• Изолировать <имя хоста> – изолировать хост с программой Kaspersky Endpoint Agent, на котором обнаружено событие, от сети. Применяется для всех типов событий.
• Создать правило запрета – запретить запуск файла, обнаруженного в событии. Применяется для всех типов событий кроме Журнал событий ОС и Изменено имя хоста.
• Создать задачу – создать задачу. Применяется для всех типов событий кроме Журнал событий ОС и Изменено имя хоста.

Кроме того, вы можете выполнить действия по обработке события по ссылкам с именем файла, путем к файлу, MD5-хешем, SHA256-хешем файла и именем хоста при просмотре текстовой информации о событии в нижней части окна.

По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать данные.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Добавить в фильтр.
• Исключить из фильтра.
• Найти на KL TIP.

  Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

• Найти события.
• Найти обнаружения.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на KL TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Удалить файл.
  • Получить файл.
  • Собрать данные.
  • Поместить файл на карантин.
  • Выполнить программу.
• Скопировать значение в буфер.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности рекомендации по обработке событий не отображаются.

См. также Просмотр таблицы событий Настройка отображения таблицы событий Просмотр информации о событии Информация о событиях в дереве событий Информация о событии Запущен процесс Информация о событии Загружен модуль Информация о событии Удаленное соединение Информация о событии Правило запрета Информация о событии Заблокирован документ Информация о событии Изменен файл Информация о событии Журнал событий ОС Информация о событии Изменение в реестре Информация о событии Прослушан порт Информация о событии Загружен драйвер Информация о событии Обнаружение Информация о событии Результат обработки обнаружения Информация о событии Интерпретированный запуск файла Информация о событии AMSI-проверка Информация о событии Интерактивный ввод команд в консоли

В этом разделе Выполнение рекомендации по изоляции хоста Выполнение рекомендации по запрету запуска файла Выполнение рекомендации по созданию задачи

В начало