תיאור
במדריך זה נסביר כיצד לבצע מספר פעולות נפוצות בניהול שוטף בממשק ה-EDR של ESET
דרישות
ממשק EDR בענן או מקומי ESET INSPECT / On-prem.
ממשק ניהול בענן או מקומי ESET PROTECT / On-prem.
אייג'נט ניהול ואייג'נט EDR מתקשרים מול הממשקים בהתאמה.
פירוט
-
- חסימת Hash
- Hash - בעברית גיבוב, הוא מזהה יחודי של הקובץ.
- בעת צורך לחסום קבצים (לדוגמה כאשר מערך הסייבר שולח קבצים לחסימה), ניתן לעשות זאת ע"פ ההסבר הבא:
-
1. יש להכנס לממשק ה-EDR וללחוץ על More ואז על Blocked Hashes ואז על Add Hashes.
- 2. יש להדביק את המזהים שאנו רוצים לחסום, אחד בכל שורה וללחוץ על Block Hashes.
- הערה: חסימת קבצים נתמכת ע"פ גיבוב מסוג SHA1 ו-SHA256.
-
שימו לב לסעיף Clean & quarantine files אשר מגדיר גם את הסרת הקובץ מכל הרשת - סעיף זה מופעל בברירת מחדל.
- 3. יש לסמן את כל הקבצים וללחוץ על Block.
-
- ביטול חסימת Hash
- 1. יש להכנס לממשק ה-EDR וללחוץ על More ואז על Blocked Hashes.
- 2. יש לסמן את הקבצים הרצויים, וללחוץ למטה על Unblock.
-
- הגדרה ושינוי משך שמירת הלוגים (בממשק ניהול מקומי בלבד)
-
1. בממשק ה-EDR יש לוגים מ-2 סוגים.
-
Low Level Data - אלו אותם האירועים (Events) המתרחשים במחשבים, הם תופסים את רוב המקום ב-DB.
Detections - הזיהויים. -
על מנת להגדיר ולשנות הגדרה זו, יש להכנס לממשק ה-EDR וללחוץ על More ואז על Settings.
-
- החרגת Detection
- 1. יש להכנס לממשק ה-EDR למסך Detections ולהיכנס לזיהוי שאותו אנו רוצים להחריג.
- 2. אחרי שווידאנו כי אנו רוצים להחריג את הזיהוי, יש ללחוץ על Create Exclusion בתחתית העמוד.
- 3. יש לתת שם להחרגה, ניתן להוסיף גם הערה, וללחוץ על Criteria.
- 4. במסך זה אנו מגדירים על אילו פרמטרים תחול ההחרגה.
- בשורה מעלה ניתן לבחור על איזה תהליך תחול ההחרגה.
- בשאר השורות ניתן להוסיף ולערוך את המגבלות להחרגה.
- לאחר מכן יש ללחוץ על Targets.
- הערה: שימו לב כי בברירת המחדל הפרמטרים בהחרגה מציגים נתונים על התהליך הנוכחי (Current Process), ניתן להחריג גם עבור Parent Process או כל תהליך בעץ התהליכים.
- 5. יש לבחור על אילו מחשבים תחול ההחרגה ע"י לחיצה על Assign.
- לסיום יש ללחוץ על Create Exclusion.
- 6. ההחרגה תהיה במסך Exclusions.
- ניתן להפעיל ולכבות את ההחרגות ע"י לחיצה על ההחרגה ועל Enable/Disable.
