处理 IOC 警报的建议
处理 IOC 警报的建议
在窗口的右侧部分,建议部分显示您可以遵循的建议,以及与您正在处理的警报具有共同属性的警报的数量。
您可以遵循以下建议:
- 在分类下面,选择通过主机名查找类似警报。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按源列筛选。您正在处理的警报中的主机名以黄色突出显示。
- 在分类下面,选择通过 IOC 查找类似警报。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按检测到列、您正在处理的警报中的 IOC 文件的名称筛选。
- 在快速响应部分,选择隔离<主机名>。这将打开网络隔离规则创建窗口。
要创建主机隔离规则,请输入以下设置:
- 在此时间后禁用隔离字段中,输入以小时为单位的时间(1 到 9999),在此期间主机的网络隔离将处于活动状态。
- 在主机隔离规则排除项设置组中的流量方向列表中,选择必须放行的网络流量方向:
- 传入/传出。
- 传入。
- 传出。
- 在IP字段,输入必须放行的网络流量的 IP 地址。
如果您使用 Kaspersky Endpoint Agent 充当 Endpoint Agent 组件,则可以使用代理服务器将 Kaspersky Endpoint Agent for Windows 与 Kaspersky Anti Targeted Attack Platform 进行连接。当您将此代理服务器添加到排除项时,可通过代理服务器访问的网络资源也被添加到排除项。如果通过代理服务器访问的网络资源已被添加到排除项,但代理服务器本身未被添加到排除项,则此类排除项不起作用。
- 如果您选择了传入或传出,请在端口字段中输入连接端口。
- 如果您想添加多个排除项,请单击添加并重复上述步骤填写流量方向、IP和端口字段。
- 单击保存。
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.