Automatizirano rješavanje detektiranih prijetnji
(Endpoint, ESET Protect server)

Tema

Automatiziranje postupka uklanjanja prijetnji.

Opis

Ovim postavkama i postupkom možete smanjiti potrebu za ljudskom intervencijom u slučaju detekcije prijetnji na računalima. Odnosi se na programe iz poslovne kategorije (ESET Endpoint Antivirus i ESET Endpoint Security). Tehnički gledano, može se primijeniti i na program ESET Server Security, ali naša preporuka je da se serverima uvijek pristupa pojedinačno (ili po skupinama istih servera).

Pozor

Ovo je vrlo “agresivan” pristup i predlažemo da ga primijenite samo na “obična” uredska računala.

NEMOJTE ga primijeniti na:

• važnije servere
• računala kritična za funkcioniranje tvrtke
• računala kritična za poslovne procese
• računala tehničkog osoblja (oni često legitimno koriste neke od programa koji će biti uklonjeni ovim postupkom)
• i ostale uređaje slične važnosti

tl;dr

Postavite Endpoint na agresivnu detekciju i brisanje; u slučaju da neka prijetnja ne bude uklonjena, računalo će biti uključeno u dinamičku grupu u kojoj se automatski pokreće dubinsko skeniranje s čišćenjem (po želji i prekid mrežnog prometa osim komunikacije s ESET Protect serverom). Ako po skeniranju čišćenje uspije – računalo će biti izbačeno iz grupe.

U suprotnom je neophodna ljudska intervencija i analiza konkretne prijetnje.

Postupak

1. Policy

Pojačana detekcija

U odnosu na standardna pravila, pri kreiranju novog policyja prilagodite sljedeće postavke:

Policies >> New policy >> “PojačanaDetekcija” >> Settings

• Detection engine >> Real-time & machine learning protection (v.sl.)

• Detection engine >> Real-time file system protection >> Threatsense parameters (v.sl.)

• Detection engine >> Cloud-based protection >> (v.sl.)

• Detection engine >> Malware scans >> On-demand scan >>

     ○ Computer scan >> Real-time & machine learning protection i

     ○ Computer scan >> Threatsense parameters

     ○ ..namjestite isto kao gore (v.sl.)

Ovaj policy možete dodijeliti svim računalima. Kao i uvijek – posebnu pozornost posvetite računalima kritičnim za poslovanje ili kritične funkcije, serverima, računalima tehničkih djelatnika, …

2. Dinamička grupa

Kreirajte dinamičku grupu “AktivnaPrijetnja”.

Template >> Dynamic group template >> New.. >> kreirajte novi predložak “TemplateAktivnaPrijetnja”

Expression: Add rule >> Active detections >> (v.sl.)

3. Client task

Kreirajte klijentski zadatak “AktivnaPrijetnjaOnDemandScan” (v.sl.)

• Task category = ESET Security Product
• Task = On-Demand Scan
• Scan Profile = In-Depth Scan
• Scan With Cleaning = Yes
• Scan All Targets = Yes

Po kreiranju taska kliknite na [Create trigger] i postavite:

• Target = označite dinamičku grupu “AktivnaPrijetnja”
• Trigger = Joined Dynamic Group Trigger

3.b. Izolacija

Po potrebi možete dodati i task “Isolate computer from network” te i njega aktivirati po ulasku računala u dinamičku grupu “AktivnaPrijetnja”.

Slike

Real-time & machine learning protection

Threatsense parameters

Cloud-based protection

Expression: Add rule >> Active detections >> Detection handled

Expression: Add rule >> Active detections >> Detection handled = “No”

Client task “On-demand scan”

Isolate computer from network

image_pdf

Author: NORT