Adozione di misure di reazione manuale

17 maggio 2024

ID 231875

Durante l'analisi dei dettagli degli avvisi potrebbe essere necessario adottare misure di reazione manuale o ottimizzare la funzionalità Endpoint Detection and Response.

È possibile adottare le seguenti misure di reazione:

  • Isolare il dispositivo interessato dalla rete.
  • Aggiungere gli indicatori di compromissione (IoC) della minaccia rilevata a una scansione periodica delle minacce nei dispositivi (applicabile solo agli avvisi rilevati da EPP).
  • Impedire l'esecuzione dell'oggetto rilevato.
  • Spostare la copia dell'oggetto rilevato in Quarantena ed eliminare l'oggetto.

Per isolare un dispositivo dalla rete:

  1. Nel messaggio sul rilevamento e l'elaborazione dell'oggetto, posizionare il puntatore sui puntini di sospensione orizzontali, quindi fare clic su Isola dispositivo.
  2. Selezionare la durata dell'isolamento desiderata.
  3. Fare clic sul pulsante Isola dispositivo per isolare il dispositivo.

Il dispositivo è isolato dalla rete.

Questa impostazione sovrascrive le impostazioni di isolamento generali e viene applicata solo al dispositivo corrente. Le impostazioni di isolamento generali non vengono modificate.

Per aggiungere gli IoC di una minaccia rilevata a una scansione periodica delle minacce:

  1. Nella sezione con informazioni dettagliate su un oggetto rilevato, fare clic sul pulsante Aggiungi a Scansione IoC o posizionare il puntatore sui puntini di sospensione orizzontali, quindi fare clic su Aggiungi a Scansione IoC.
  2. Se necessario, modificare il nome e la descrizione della minaccia. Per impostazione predefinita, la minaccia è denominata "[Grafico minacce] <Nome minaccia dell'avviso EPP>".
  3. Se necessario, modificare i criteri di rilevamento (l'operatore logico):
    • Corrispondenza a UNO dei seguenti, se si desidera che venga visualizzato un avviso se almeno uno degli IoC viene rilevato in un dispositivo (l'operatore logico OR).
    • Corrispondenza a TUTTI i seguenti, se si desidera che venga visualizzato un avviso solo se tutti gli IoC vengono rilevati contemporaneamente in un dispositivo (l'operatore logico AND).
  4. Se necessario, modificare l'elenco di IoC. L'elenco di IoC si compone di due parti:
    • Nuovi IoC

      IoC acquisiti dall'avviso.

    • IoC aggiunti precedentemente

      IoC che sono stati aggiunti alla stessa minaccia in precedenza (se presenti).

  5. Se necessario, rimuovere un IoC facendo clic sull'icona Elimina (Cestino ) adiacente.
  6. Fare clic sul pulsante Esegui scansione per salvare ed eseguire la scansione IoC.

Le impostazioni di scansione IoC vengono modificate. La scansione è stata riavviata nei dispositivi.

Per impedire l'esecuzione di un oggetto rilevato:

  1. Eseguire una delle seguenti operazioni:
    • [Per un avviso rilevato da EPP] Nella sezione con informazioni dettagliate su un oggetto rilevato, fare clic sul pulsante Impedisci l'esecuzione o posizionare il puntatore sui puntini di sospensione orizzontali, quindi fare clic su Impedisci l'esecuzione.
    • [Per un avviso rilevato tramite scansione IoC] Nella sezione con informazioni dettagliate su un IoC rilevato, accanto a Reazione manuale fare clic su Azioni, quindi selezionare Impedisci l'esecuzione.
  2. Esaminare le proprietà dell'operazione pianificata: gli oggetti indesiderati la cui esecuzione verrà impedita e l'azione che verrà eseguita all'esecuzione o all'apertura di questi oggetti.
  3. Fare clic su Conferma per confermare l'operazione.

L'oggetto rilevato viene aggiunto alle regole di prevenzione dell'esecuzione.

Per spostare la copia di un oggetto rilevato in Quarantena ed eliminare l'oggetto:

  1. Eseguire una delle seguenti operazioni:
    • [Per un avviso rilevato da EPP] Nella sezione con informazioni dettagliate su un oggetto rilevato, fare clic sul pulsante Sposta in Quarantena o posizionare il puntatore sui puntini di sospensione orizzontali, quindi fare clic su Sposta in Quarantena.
    • [Per un avviso rilevato tramite scansione IoC] Nella sezione con informazioni dettagliate su un IoC rilevato, accanto a Reazione manuale: fare clic su Azioni, quindi selezionare Sposta in Quarantena.
  2. Rivedere le proprietà dell'operazione pianificata: il file che verrà spostato in Quarantena e il dispositivo in cui avverrà l'operazione.
  3. Fare clic su Sposta per confermare l'operazione.

Kaspersky Endpoint Security for Windows crea prima una copia di backup dell'oggetto dannoso rilevato nel dispositivo, nel caso in cui l'oggetto debba essere ripristinato in seguito. La copia di backup viene spostata in Quarantena. Successivamente, Kaspersky Endpoint Security for Windows elimina l'oggetto.

Hai trovato utile questo articolo?
Cosa pensi che potremmo migliorare?
Grazie per il feedback! Ci stai aiutando a migliorare.
Grazie per il feedback! Ci stai aiutando a migliorare.