مراقبة والاستجابة لتهديدات حماية النقاط النهائية

تشرح هذه المقالة كيفية مراقبة والاستجابة للتهديدات التي تحددها محركات حماية النقاط النهائية من Cato (EPP).

نظرة عامة

لزيادة وعيك بالتهديدات المحتملة لنقاط النهاية والمستخدمين النهائيين، يمكنك عرض وتحليل تفاصيل التهديدات المحتملة لتحديد كيفية الاستجابة. إذا تم تحديد نشاط محتمل ضار بواسطة محرك EPP، يتم إنشاء حدث يحتوي على المعلومات ذات الصلة. توفر أحداث EPP معلومات رئيسية حول التهديد المحدد مثلاً، نقطة النهاية التي حدثت فيها التهديد، والزمن والتاريخ للتهديد، واسم الملف الذي تسبب في الحدث. لمزيد من المعلومات حول تحليل الأحداث، راجع تحليل الأحداث في شبكتك

يمكنك أيضًا عرض ونظرة عامة على التهديدات المكتشفة بواسطة EPP في شبكتك من لوحة تحكم حماية النقاط النهائية.

يمكن تشفير الملفات التي تم تحديدها ضارة وحجرها، بناءً على إعدادات الحماية الخاصة بك. يمكنك عرض الملفات المحجورة وإذا كانت تعتبر آمنة، استعادتها إلى موقعها الأصلي.

تحديد تهديدات حماية النقاط الطرفية

يمكنك عرض جميع الأحداث التي تثيرها حماية النقاط النهائية ضمن إطار زمني محدد. يوفر حقل نوع المحرك معلومات حول أي محرك أثار الحدث.

ملاحظة

ملاحظة: يمكن أن يستغرق إنشاء الحدث 6 دقائق بعد حظر الملف.

لتحديد التهديدات على نقاط النهاية الخاصة بك:

  1. من قائمة التنقل، انقر على الرئيسية > الأحداث.
  2. في شريط تصفية الأحداث، انقر على رمز الإعدادات المسبقة.

  3. من قائمة الإعدادات المسبقة المعرفة مسبقًا، اختر حماية النقاط النهائية.

    تعرض التهديدات التي حددها EPP.

فهم حقول الأحداث

تسرد الجدول التالي حقول الحدث في حدث برامج ضارة لـ EEP.

اسم الحقل الوصف
الإجراء الإجراء ذات الصلة بنوع الحدث الذي حاول EPP اتخاذه.
الإجراءات التخفيفية المتخذة

الإجراء الذي اتخذته EPP. الإجراءات التخفيفية هي:

  • رفض: يتم رفض وصول المستخدم SDP إلى الملف
  • التطهير فقط: تتم إزالة المحتوى الخبيث الموجود في الملف. إذا فشل هذا، يبقى الملف في موقعه الحالي
  • تطهير الحذف: تتم إزالة المحتوى الخبيث الموجود في الملف. إذا فشل هذا، يتم حذف الملف
  • حذف: يتم حذف الملف
  • النقل إلى حجر: يتم نقل الملف إلى الحجر الصحي
  • تجاهل: لم يتم اتخاذ أي إجراء

تعريف الإجراءات التخفيفية بواسطة ملف تعريف EPP. للمزيد من المعلومات، اطلع على تكوين حماية النقاط الطرفية.
الإجراءات المتخذة قائمة بجميع الإجراءات المتخذة. على سبيل المثال، حاول EPP عزل ملف، فشل الإجراء، ثم حاول EPP حذف الملف. الإجراءات المتخذة هي:
[الحجر الصحي، حذف]
إصدار العميل رقم إصدار EPP.
اسم الجهاز اسم الكمبيوتر الخاص بنقطة النهاية.
معرف نقطة النهاية المعرف الفريد لوكيل EEP.
نوع المحرك المحرك الذي اكتشف التهديد.
ملف تعريف حماية النقاط النهائية ملف EEP على نقطة النهاية.
عدد الأحداث عدد الأحداث المتكررة عدة مرات خلال دقيقة واحدة.
التصنيف الفرعي فئة التصنيف الفرعي للحدث.
نوع الحدث فئة الحدث.
تجزئة الملف تجزئة الملف للاشتباه بالملف.
اسم الملف مسار الملف واسم الملف المشتبه به.
تشغيل الملف الإجراء الذي اتخذه المستخدم النهائي لتفعيل الحدث.
حالة العنصر النهائية

الحالة النهائية للملف بعد اتخاذ جميع الإجراءات (أو محاولة اتخاذها) 

SCAN_FAILED تعني أن EPP لم يتمكن من فحص الملف
اسم شركة الإنترنت الشركة المزودة التي يتصل بها نقطة النهاية.
المستخدم الذي سجل الدخول المستخدم النهائي الذي سجل الدخول في وقت الحدث.
اسم الكائن مسار الملف واسم الملف المشتبه به.
نوع نظام التشغيل نظام التشغيل الخاص بنهاية النقطة.
إصدار نظام التشغيل إصدار نظام التشغيل الخاص بنهاية النقطة.
معرف المستخدم معرف SID لنهاية النقطة.

حجر الملفات

إذا كانت إعدادات الحماية مضبوطة على الحظر والإصلاح، يقوم EPP بتشفير الملفات الضارة وحجرها. هذا يمنع المستخدم النهائي من الوصول إلى الملف ويمنع العمليات الضارة من التشغيل على نهاية النقطة. حجر التهديدات المحتملة يضمن بقاء نقاط النهاية آمنة ويقلل من خطر الإصابة في جميع أنحاء بيئتك.

يمكنك مراقبة الملفات المحجورة واستعادتها إلى موقعها الأصلي إذا كانت آمنة.

مراقبة الملفات المحجورة

يمكنك مراقبة الملفات التي تم حجرها على كل نهاية نقطة.

لمراجعة الملفات المحجورة:

  1. من قائمة التنقل، انقر على الوصول > نقاط النهاية المحمية.

    تعرض جدول نقاط النهاية المحمية.

  2. في عمود الملفات المحجورة، انقر على رقم نقطة النهاية التي تريد عرض الملفات المحجورة لديها.

    تعرض الملفات المحجورة على نهاية النقطة.

    ملاحظة

    إذا كان عمود الملفات المحجورة فارغًا، لم يتم العثور على أي ملفات محجورة على نقطة النهاية

استعادة الملفات المحجورة

إذا تم حجر ملف عن طريق الخطأ أو إذا كنت تعتبر الملف آمنًا، يمكنك استعادته إلى الموقع الأصلي على نقطة النهاية. يمكن للمستخدم النهائي عندئذٍ الوصول إلى الملف. بعد استعادة الملف من الحجر، يتم إضافته إلى قائمة السماح.

لاستعادة الملفات المحجورة:

  1. من قائمة التنقل، انقر على الوصول > نقاط النهاية المحمية.

    تعرض جدول نقاط النهاية المحمية.

  2. في عمود الملفات المحجورة، انقر على رقم الصف لنقطة النهاية التي تريد استعادة ملف محجور منها.

    تعرض جدول الحجر.

  3. في الملف الذي تريد استعادته، انقر على النقاط الثلاث في نهاية الجدول.

  4. انقر على استعادة.

    يتم استعادة الملف إلى موقعه الأصلي.

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات