एंडपॉइंट सुरक्षा खतरों की निगरानी करना और उन पर प्रतिक्रिया करना

यह लेख बताता है कि Cato के एंडपॉइंट प्रोटेक्शन (EPP) इंजन द्वारा पहचाने गए खतरों की निगरानी और प्रतिक्रिया कैसे करें।

अवलोकन

अपने एंडपॉइंट्स और एंडयूजर्स के लिए संभावित खतरों के प्रति आपकी पहचान बढ़ाने के लिए, आप संभावित खतरों का विवरण देखकर और उनका विश्लेषण कर यह तय कर सकते हैं कि कैसे प्रतिक्रिया दें। यदि किसी EPP इंजन द्वारा संभावित दुर्भावनापूर्ण गतिविधि की पहचान की जाती है, तो घटना बनाई जाती है जिसमें संबंधित जानकारी होती है। EPP घटना महत्वपूर्ण जानकारी प्रदान करती है जो कि पहचाने गए खतरे के बारे में होती है, उदाहरण के लिए, वह एंडपॉइंट जहाँ खतरा हुआ था, खतरे की तिथि और समय, और घटना को ट्रिगर करने वाली फ़ाइल का नाम। घटनाओं का विश्लेषण करने के बारे में अधिक जानकारी के लिए, देखें आपके नेटवर्क में घटनाओं का विश्लेषण करना

आप एंडपॉइंट सुरक्षा डैशबोर्ड से अपने नेटवर्क में EPP के द्वारा पता लगाए गए खतरों का अवलोकन और देखने भी कर सकते हैं

जो फाइलें हानिकारक पहचानी जाती हैं उन्हें आपके सुरक्षा सेटिंग्स के अनुसार एन्क्रिप्ट और क्वारंटाइन किया जा सकता है। आप क्वारंटाइन की गई फाइलें देख सकते हैं और यदि वे सुरक्षित मानी जाएं तो उन्हें उनके मूल स्थान पर पुनर्स्थापित कर सकते हैं।

एंडपॉइंट सुरक्षा खतरों की पहचान करना

आप निर्धारित समयावधि के भीतर एंडपॉइंट सुरक्षा द्वारा ट्रिगर की गई सभी घटनाओं को देख सकते हैं। इंजन प्रकार फ़ील्ड यह जानकारी प्रदान करती है कि किस इंजन ने घटना को ट्रिगर किया।

नोट

नोट: किसी फ़ाइल को अवरुद्ध करने के बाद घटना बनने में 6 मिनट लग सकते हैं।

अपने एंडपॉइंट्स पर खतरों की पहचान करने के लिए:

  1. नेविगेशन मेनू से, होम > घटनाएँ पर क्लिक करें।
  2. घटनाओं के फ़िल्टर बार में, प्रिसेट्स आइकन पर क्लिक करें।

  3. पूर्वनिर्धारित प्रीसेट सूची में से, एंडपॉइंट सुरक्षा चुनें।

    EPP द्वारा पहचाने गए खतरे प्रदर्शित होते हैं।

घटना फ़ील्ड्स की समझ

निम्न तालिका एक EEP मैलवेयर घटना में घटना फ़ील्ड्स को सूचीबद्ध करती है।

फ़ील्ड नाम विवरण
कार्रवाई घटना प्रकार के लिए संबंधित कार्रवाई जिसका प्रयास EPP ने किया था।
शमन क्रियाएँ ली गईं

EPP द्वारा एक्शन लिया गया। शमन क्रियाएँ हैं:

  • अस्वीकार करें: SDP उपयोगकर्ता को फाइल तक पहुँचने से मना किया गया है
  • केवल डिसइन्फेक्ट: फाइल में पहचाने गए हानिकारक सामग्री को हटा दिया गया है। यदि यह विफल होता है, तो फाइल अपनी वर्तमान स्थिति में बनी रहेगी
  • डिसइन्फेक्ट डिलीट: फाइल में पहचाने गए हानिकारक सामग्री को हटा दिया गया है। अगर यह विफल होता है, तो फाइल को हटा दिया जाता है
  • डिलीट: फाइल को हटा दिया गया है
  • क्वारंटाइन में ले जाएं: फाइल को क्वारंटाइन में ले जाया गया है
  • अनदेखा करें: कोई कार्रवाई नहीं की गई है

शमन क्रियाएँ EEP प्रोफ़ाइल द्वारा परिभाषित की गई हैं। अधिक जानकारी के लिए, देखें एंडपॉइंट सुरक्षा कॉन्फ़िगर करना
क्रियाएँ की गईं की गई सभी क्रियाओं की सूची। उदाहरण के लिए, EPP ने फाइल को क्वारंटाइन करने का प्रयास किया, कार्रवाई विफल रही, फिर EPP ने फाइल को हटाने का प्रयास किया। की गई क्रियाएँ हैं:
[क्वारंटाइन, डिलीट]
क्लाइंट संस्करण EPP का अनुवाद आवंटित / कुल एंडपॉइंट है। का संस्करण संख्या।
उपकरण का नाम एंडपॉइंट का कंप्यूटर नाम।
एंडपॉइंट आईडी EEP एजेंट की अनूठी आईडी।
इंजन प्रकार खतरे का प्रकार का इंजन जिसने खतरे का पता लगाया।
एंडपॉइंट सुरक्षा प्रोफाइल एंडपॉइंट पर EEP का अनुवाद आवंटित / कुल एंडपॉइंट है। प्रोफाइल।
घटना गणना वे घटनाएं जो एक मिनट में कई बार दोहराई जाती हैं उनकी गणना।
उप-प्रकार घटना का उप-प्रकार श्रेणी।
घटना प्रकार घटना की श्रेणी।
फ़ाइल हैश संदिग्ध फ़ाइल का फ़ाइल हैश।
फ़ाइल का नाम संदिग्ध फ़ाइल का फ़ाइल पथ और नाम।
फ़ाइल ऑपरेशन क्रिया जो एंडयूज़र ने घटना को ट्रिगर करने के लिए की।
अंतिम वस्तु स्थिति

सभी क्रियाएँ लेने (या लेने का प्रयास करने) के बाद फाइल की अंतिम स्थिति 

SCAN_FAILED का अर्थ है कि EPP फाइल को स्कैन करने में असमर्थ था
आईएसपी का नाम जिस ISP से एंडपॉइंट जुड़ा हुआ है।
लॉग इन उपयोगकर्ता घटना के समय पर एंडयूज़र लॉग इन था।
वस्तु का नाम संदिग्ध फ़ाइल का फ़ाइल पथ और नाम।
ओएस प्रकार एंडपॉइंट ऑपरेटिंग सिस्टम।
OS संस्करण एंडपॉइंट ऑपरेटिंग सिस्टम संस्करण।
उपयोगकर्ता SID एंडपॉइंट का SID।

क्वारंटाइनिंग फ़ाइल्स

यदि आपकी सुरक्षा सेटिंग्स ब्लॉक और सुधार पर सेट हैं, तो EPP का अनुवाद आवंटित / कुल एंडपॉइंट है। खतरनाक फ़ाइलों को एन्क्रिप्ट और क्वारंटाइन करता है। यह एंडयूज़र को फाइल तक पहुंचने से रोकता है और एंडपॉइंट पर हानिकारक प्रक्रियाओं के चलने से रोकता है। संभावित खतरों को क्वारंटाइन करना यह सुनिश्चित करता है कि आपके एंडपॉइंट सुरक्षित रहें और आपके पर्यावरण में संक्रमण के जोखिम को कम करें।

आप क्वारंटाइन की गई फ़ाइलों की निगरानी कर सकते हैं और यदि वे सुरक्षित हैं तो उन्हें उनकी मूल स्थिति में पुनर्स्थापित कर सकते हैं।

क्वारंटाइन की गई फ़ाइलों की निगरानी

आप प्रत्येक एंडपॉइंट पर क्वारंटाइन की गई फ़ाइलों की निगरानी कर सकते हैं।

क्वारंटाइन की गई फ़ाइलों की समीक्षा करने के लिए:

  1. नेविगेशन मेनू से, पहुंच > सुरक्षित एंडपॉइंट्स पर क्लिक करें।

    सुरक्षित एंडपॉइंट्स तालिका प्रदर्शित की जाती है।

  2. संगरोधित फ़ाइलें कॉलम में, उस एंडपॉइंट की संख्या क्लिक करें जिसकी आप संगरोधित फ़ाइलें देखना चाहते हैं।

    एंडपॉइंट पर संगरोधित फाइलें प्रदर्शित की जाती हैं।

    नोट

    यदि संगरोधित फ़ाइलें कॉलम खाली है, तो इसका मतलब है कि एंडपॉइंट पर कोई भी संगरोधित फ़ाइलें नहीं मिली हैं

संगरोधित फ़ाइलों को पुनर्स्थापित करना

यदि फाइल गलती से संगरोधित की गई है या आप फाइल को सुरक्षित मानते हैं, तो आप इसे एंडपॉइंट पर मूल स्थान पर पुनर्स्थापित कर सकते हैं। इसके बाद अंतिम उपयोगकर्ता फ़ाइल तक पहुँच सकता है। फाइल को संगरोध से पुनर्स्थापित करने के बाद अनुमति सूची में जोड़ दिया जाता है।

संगरोधित फ़ाइलें पुनर्स्थापित करने के लिए:

  1. नेविगेशन मेनू से, पहुंच > सुरक्षित एंडपॉइंट्स पर क्लिक करें।

    सुरक्षित एंडपॉइंट्स तालिका प्रदर्शित की जाती है।

  2. संगरोधित फ़ाइलें कॉलम में, उस एंडपॉइंट की रो संख्या पर क्लिक करें जिसमें से आप एक संगरोधित फाइल पुनर्स्थापित करना चाहते हैं।

    संगरोध करें तालिका प्रदर्शित की जाती है।

  3. उस फाइल पर, जिसे आप पुनर्स्थापित करना चाहते हैं, तालिका के अंत में तीन बिंदुओं पर क्लिक करें।

  4. पुनर्स्थापित करें पर क्लिक करें।

    फ़ाइल को उसके मूल स्थान पर पुनर्स्थापित कर दिया जाता है।

क्या यह लेख उपयोगी था?

1 में से 1 के लिए उपयोगी रहा

0 टिप्पणियां