Tema
Automatiziranje postupka uklanjanja prijetnji.
Opis
Ovim postavkama i postupkom možete smanjiti potrebu za ljudskom intervencijom u slučaju detekcije prijetnji na računalima. Odnosi se na programe iz poslovne kategorije (ESET Endpoint Antivirus i ESET Endpoint Security). Tehnički gledano, može se primijeniti i na program ESET Server Security, ali naša preporuka je da se serverima uvijek pristupa pojedinačno (ili po skupinama istih servera).
Pozor
Ovo je vrlo “agresivan” pristup i predlažemo da ga primijenite samo na “obična” uredska računala.
NEMOJTE ga primijeniti na:
• važnije servere
• računala kritična za funkcioniranje tvrtke
• računala kritična za poslovne procese
• računala tehničkog osoblja (oni često legitimno koriste neke od programa koji će biti uklonjeni ovim postupkom)
• i ostale uređaje slične važnosti
tl;dr
Postavite Endpoint na agresivnu detekciju i brisanje; u slučaju da neka prijetnja ne bude uklonjena, računalo će biti uključeno u dinamičku grupu u kojoj se automatski pokreće dubinsko skeniranje s čišćenjem (po želji i prekid mrežnog prometa osim komunikacije s ESET Protect serverom). Ako po skeniranju čišćenje uspije – računalo će biti izbačeno iz grupe.
U suprotnom je neophodna ljudska intervencija i analiza konkretne prijetnje.
Postupak
1. Policy
Pojačana detekcija
U odnosu na standardna pravila, pri kreiranju novog policyja prilagodite sljedeće postavke:
Policies >> New policy >> “PojačanaDetekcija” >> Settings
• Detection engine >> Real-time & machine learning protection (v.sl.)
• Detection engine >> Real-time file system protection >> Threatsense parameters (v.sl.)
• Detection engine >> Cloud-based protection >> (v.sl.)
• Detection engine >> Malware scans >> On-demand scan >>
○ Computer scan >> Real-time & machine learning protection i
○ Computer scan >> Threatsense parameters
○ ..namjestite isto kao gore (v.sl.)
Ovaj policy možete dodijeliti svim računalima. Kao i uvijek – posebnu pozornost posvetite računalima kritičnim za poslovanje ili kritične funkcije, serverima, računalima tehničkih djelatnika, …
2. Dinamička grupa
Kreirajte dinamičku grupu “AktivnaPrijetnja”.
Template >> Dynamic group template >> New.. >> kreirajte novi predložak “TemplateAktivnaPrijetnja”
Expression: Add rule >> Active detections >> (v.sl.)
3. Client task
Kreirajte klijentski zadatak “AktivnaPrijetnjaOnDemandScan” (v.sl.)
• Task category = ESET Security Product
• Task = On-Demand Scan
• Scan Profile = In-Depth Scan
• Scan With Cleaning = Yes
• Scan All Targets = Yes
Po kreiranju taska kliknite na [Create trigger] i postavite:
• Target = označite dinamičku grupu “AktivnaPrijetnja”
• Trigger = Joined Dynamic Group Trigger
3.b. Izolacija
Po potrebi možete dodati i task “Isolate computer from network” te i njega aktivirati po ulasku računala u dinamičku grupu “AktivnaPrijetnja”.
Slike
Real-time & machine learning protection
Threatsense parameters
Cloud-based protection
Expression: Add rule >> Active detections >> Detection handled
Expression: Add rule >> Active detections >> Detection handled = “No”
Client task “On-demand scan”
Isolate computer from network