Definizione delle impostazioni di scansione IoC
5 marzo 2024
ID 231841
Quando si configurano scansioni periodiche per le minacce nei dispositivi, è possibile definire le seguenti impostazioni di scansione: pianificazione, ambito e azioni di reazione automatica.
Per definire le impostazioni di una scansione IoC:
- Aprire la Console di gestione di Kaspersky Endpoint Security Cloud.
- Selezionare la sezione Gestione della protezione → Endpoint Detection and Response.
- Fare clic sul pulsante Scansione IoC.
- Nel riquadro della scansione desiderata posizionare il puntatore sui puntini di sospensione verticali, quindi fare clic su Definisci impostazioni di scansione.
Verrà visualizzata la finestra Impostazioni di scansione.
- Nell'elenco Pianificazione selezionare il valore desiderato:
- Non specificato (per impostazione predefinita)
La scansione IoC non viene mai eseguita.
- Ogni giorno
Specificare l'ora in cui deve essere eseguita la scansione IoC.
- Ogni settimana
Specificare il giorno della settimana e l'ora in cui deve essere eseguita la scansione IoC.
La Scansione personalizzata verrà eseguita all'ora specificata nel fuso orario UTC±00:00. La Scansione proattiva e la Scansione reattiva verranno eseguite all'ora specificata nel fuso orario del sistema operativo del dispositivo. Se un dispositivo protetto è offline all'ora pianificata, l'attività verrà eseguita non appena il dispositivo risulterà online.
- Non specificato (per impostazione predefinita)
- In Ambito della scansione fare clic sul collegamento Modifica per specificare l'elenco dei dispositivi in cui deve essere eseguita la scansione IoC.
Selezionare le caselle di controllo accanto ai dispositivi da includere e deselezionare le caselle di controllo accanto ai dispositivi da escludere. Fare clic su Salva per salvare le modifiche.
Questa impostazione è disponibile solo per la Scansione personalizzata. Per le altre scansioni (Scansione proattiva e Scansione reattiva), l'ambito riguarda tutti i dispositivi degli utenti che eseguono Windows. Non può essere modificato.
Tutti i nuovi dispositivi aggiunti in futuro verranno automaticamente inclusi nell'ambito della scansione. Se quindi si desidera escluderli dall'ambito della scansione personalizzata, è necessario procedere manualmente.
- In Azioni di reazione selezionare le azioni di reazione da eseguire se vengono rilevate le minacce specificate:
- Solo avviso
L'evento di rilevamento di una minaccia viene aggiunto al registro eventi. Non vengono eseguite altre azioni.
- Avviso e reazione
L'evento di rilevamento di una minaccia viene aggiunto al registro eventi. Vengono inoltre eseguite le azioni di reazione selezionate:
- Esegui scansione delle aree critiche
Kaspersky Endpoint Security for Windows esegue la scansione della memoria del kernel, dei processi in esecuzione e dei settori di avvio del disco di un dispositivo interessato.
- Sposta la copia in Quarantena ed elimina l'oggetto
Kaspersky Endpoint Security for Windows crea prima una copia di backup dell'oggetto dannoso rilevato nel dispositivo, nel caso in cui l'oggetto debba essere ripristinato in seguito. La copia di backup viene spostata in Quarantena. Successivamente, Kaspersky Endpoint Security for Windows elimina l'oggetto.
- Isola il dispositivo dalla rete
Kaspersky Endpoint Security for Windows isola il dispositivo dalla rete per impedire la diffusione della minaccia o la violazione di informazioni riservate. Per configurare la durata dell'isolamento, fare clic su Impostazioni e selezionare il valore desiderato.
La durata dell'isolamento è comune a tutte e tre le scansioni IoC. Se si modifica il valore nelle impostazioni di una scansione, questo verrà propagato alle altre scansioni.
In alternativa, è possibile configurare la durata dell'isolamento selezionando la sezione Gestione della protezione → Endpoint Detection and Response, quindi facendo clic su Impostazioni di reazione → Isolamento di rete.
- Esegui scansione delle aree critiche
- Solo avviso
- Fare clic su Salva per salvare le modifiche.
Le impostazioni della scansione IoC selezionata sono definite.