Мониторинг и реагирование на угрозы защиты конечных точек

Эта статья объясняет, как мониторить и реагировать на угрозы, обнаруженные движками защиты конечных точек (EPP) Cato.

Обзор

Чтобы повысить осведомленность о потенциальных угрозах для ваших конечных точек и конечных пользователей, вы можете просмотреть и проанализировать детали потенциальных угроз, чтобы определить, как реагировать. Если движок EPP идентифицирует потенциально вредоносную активность, создается Событие, содержащее соответствующую информацию. События EPP обеспечивают основную информацию об идентифицированной угрозе, например конечная точка, на которой возникла угроза, время и дата угрозы, и имя файла, вызвавшего событие. Для получения дополнительной информации об анализе событий см. Анализ событий в вашей сети

Вы также можете просмотреть и получить обзор угроз, обнаруженных EPP в вашей сети, из Панель управления защитой конечных точек.

Обнаруженные как вредоносные файлы могут быть зашифрованы и помещены в карантин в зависимости от ваших настроек защиты. Вы можете просмотреть файлы в карантине и, если они считаются безопасными, восстановить их в их первоначальное местоположение.

Идентификация угроз защиты конечных точек

Вы можете просматривать все события, срабатывающие защитой конечных точек в определенный период времени. Поле Тип движка предоставляет информацию о том, какой движок вызвал событие.

Примечание

Примечание: Событие может занять 6 минут для создания после блокировки файла.

Чтобы идентифицировать угрозы на ваших конечных точках:

  1. Из меню навигации нажмите Домашняя > События.
  2. В строке фильтра событий нажмите значок Предустановки.

  3. Из списка Предопределенные пресеты выберите Защита конечных точек.

    Отображаются угрозы, идентифицированные EPP.

Понимание полей событий

Следующая таблица перечисляет поля события в событии Вредоносного ПО EPP.

Имя глобальной настройки Описание
Действие Действие, которое связано с типом события, которое EPP пытается выполнить.
Принятые действия по смягчению последствий

Действие, принятое EPP. Действия по смягчению последствий:

  • Отказ: пользователю SDP отказано в доступе к файлу.
  • Только дезинфекция: вредоносное содержимое в файле удалено. Если дезинфекция не удается, файл остается в текущем расположении
  • Дезинфекция и удаление: вредоносное содержимое в файле удалено. Если не удается дезинфекция, файл удаляется
  • Удалить: файл удален
  • Переместить в карантин: файл перемещен в карантин
  • Игнорировать: никаких действий не предпринимается

Действия по смягчению последствий определяются профилем EEP. Для получения дополнительной информации см. Настройка защиты конечных точек.
Принятые действия Список всех принятых действий. Например, EPP пыталась переместить файл в карантин, действие не удалось, затем EPP пыталась удалить файл. Принятые действия:
[Карантин, Удалить]
Версия клиента Номер версии EPP.
Имя устройства Имя компьютера конечной точки.
ID конечной точки Уникальный ID агента EEP.
Тип движка Движок, который обнаружил угрозу.
Профиль защиты конечных точек Профиль EPP на конечных точках.
Количество событий Количество повторяющихся событий в течение одной минуты.
Подтип Категория подтипа события.
Тип события Категория события.
Хеш файла Хеш подозрительного файла.
Имя файла Путь к файлу и имя подозрительного файла.
Операция с файлом Действие, которое предпринял конечный пользователь для запуска события.
Статус объекта

Окончательный статус файла после всех принятых или пытались принять действия 

SCAN_FAILED означает, что EPP не смогла просканировать файл
Имя провайдера интернет-услуг Провайдер интернет-услуг, к которому подключены конечные точки.
Залогиненный пользователь Конечный пользователь, залогиненный на момент события.
Имя объекта Путь к файлу и имя подозрительного файла.
Тип операционной системы Операционная система конечных точек.
Версия ОС Версия операционной системы конечных точек.
SID пользователя SID конечных точек.

Карантин файлов

Если ваша настройка Защита установлена на Блокировать и устранять, EPP шифрует и помещает в карантин вредоносные файлы. Это препятствует конечному пользователю доступ к файлу и предотвращает запуск вредоносных процессов на конечных точках. Изоляция потенциальных угроз обеспечивает безопасность ваших конечных точек и снижает риск заражения в вашей среде.

Вы можете следить за помещенными в карантин файлами и восстанавливать их в исходное местоположение, если они безопасны.

Мониторинг карантина файлов

Вы можете отслеживать файлы, которые были помещены в карантин на каждой конечной точке.

Чтобы просмотреть изолированные файлы:

  1. В меню навигации нажмите Доступ > Защищенные конечные точки.

    Таблица Защищенные конечные точки отображается.

  2. В столбце Карантин файлов нажмите номер конечной точки, чтобы просмотреть ее изолированные файлы.

    Изолированные файлы на конечных точках отображаются.

    Примечание

    Если столбец Карантин файлов пуст, это означает, что на конечных точках не было найдено никаких изолированных файлов

Возврат файлов из карантина

Если файл был ошибочно помещен в карантин или если вы считаете файл безопасным, вы можете восстановить его в исходное местоположение на конечных точках. После этого конечный пользователь сможет получить доступ к файлу. После восстановления файла из карантина он добавляется в разрешенный список.

Чтобы восстановить изолированные файлы:

  1. В меню навигации нажмите Доступ > Защищенные конечные точки.

    Таблица Защищенные конечные точки отображается.

  2. В столбце Карантин файлов нажмите номер строки конечной точки, с которой вы хотите восстановить изолированный файл.

    Таблица Карантин отображается.

  3. По файлу, который вы хотите восстановить, нажмите на три точки в конце таблицы.

  4. Нажмите Восстановить.

    Файл восстанавливается в его исходное местоположение.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев