Adoção de medidas de resposta manual
5 de março de 2024
ID 231875
Ao analisar os detalhes do alerta, é possível adotar as medidas de resposta manual ou ajustar o recurso Endpoint Detection and Response.
É possível adotar as seguintes medidas de resposta:
- Isole o dispositivo afetado da rede.
- Adicione os Indicadores de Comprometimento (IOCs) da ameaça detectada a uma verificação regular de ameaças em dispositivos (aplicável apenas a alertas detectados pelo EPP).
- Prevenir a execução do objeto detectado.
- Mova a cópia do objeto detectado para a Quarentena e exclua o objeto.
Para isolar um dispositivo da rede:
- Na mensagem sobre a detecção e processamento do objeto, aponte para as reticências horizontais e clique em Isolar dispositivo.
- Selecione a duração de isolamento necessária.
- Clique no botão Isolar dispositivo para isolar o dispositivo.
O dispositivo está isolado da rede.
A configuração substitui as configurações gerais de isolamento e é aplicada apenas no dispositivo atual. As configurações gerais de isolamento não são alteradas.
Para adicionar os IOCs de uma ameaça detectada a uma verificação regular de ameaças:
- Na seção com informações detalhadas sobre um objeto detectado, clique no botão Adicionar na Verificação de IoC ou aponte para as reticências horizontais e clique em Adicionar na Verificação de IoC.
- Caso necessário, edite o nome e a descrição da ameaça. Por padrão, a ameaça é denominada "
[Threat Graph]
<Nome da ameaça a partir do alerta EPP>
". - Caso necessário, edite os critérios de detecção (o operador lógico):
- Corresponder a QUALQUER dos seguintes, caso deseje que um alerta ocorra se pelo menos um dos IOCs forem encontrados em um dispositivo (o operador lógico OR).
- Corresponder a TODOS os seguintes, caso deseje que um alerta ocorra somente se todos os IOCs forem encontrados em um dispositivo simultaneamente (o operador lógico AND).
- Caso necessário, edite a lista de IOCs. A lista de IOCs consiste em duas partes:
- Novos IoCs
IOCs retirados do alerta.
- IoCs adicionados anteriormente
IOCs adicionados na mesma ameaça anteriormente (caso houver).
- Novos IoCs
- Caso necessário, remova qualquer um dos IOCs clicando no botão Excluir () ao lado dele.
- Clique no botão Executar verificação para salvar e executar a Verificação de IOC.
As configurações de Verificação de IOC estão alteradas. A verificação foi reiniciada nos dispositivos.
Para prevenir a execução de um objeto detectado:
- Execute uma das seguintes ações:
- [Para um alerta detectado por EPP] Na seção com informações detalhadas sobre um objeto detectado, clique no botão Prevenir a execução ou aponte para as reticências horizontais e clique em Prevenir a execução.
- [Para um alerta detectado pela Verificação de IOC] Na seção com as informações detalhadas sobre um IOC detectado, ao lado de Resposta manual, clique em Ações e então, selecione Prevenir a execução.
- Analise as propriedades da operação planejada: os objetos indesejados cuja execução será impedida e a ação a ser adotada na execução ou abertura desses objetos.
- Clique em Confirmar para confirmar a operação.
O objeto detectado é adicionado nas regras de prevenção de execução.
Para mover a cópia de um objeto detectado para a Quarentena e excluir o objeto:
- Execute uma das seguintes ações:
- [Para um alerta detectado por EPP] Na seção com as informações detalhadas sobre um objeto detectado, clique no botão Mover para a Quarentena ou aponte para as reticências horizontais e clique em Mover para a Quarentena.
- [Para um alerta detectado pela Verificação de IOC] Na seção com as informações detalhadas sobre um IOC detectado, ao lado de Resposta manual clique em Ações e então, selecione Mover para a Quarentena.
- Analise as propriedades da operação planejada: o arquivo que será movido para a Quarentena e o dispositivo no qual isso acontecerá.
- Clique em Mover para confirmar a operação.
Primeiramente, o Kaspersky Endpoint Security for Windows cria uma cópia backup do objeto malicioso encontrado no dispositivo, caso o objeto precise ser restaurado posteriormente. A cópia backup é movida para a Quarentena. Em seguida, o Kaspersky Endpoint Security for Windows exclui o objeto.