Correggere un intero problema

Correggendo un intero problema, è possibile scegliere in modo facile e rapido le correzioni da eseguire globalmente sul problema. EDR guida l'utente passo per passo durante il processo di correzione.

Se occorre gestire il problema con un maggiore livello di dettaglio, vedere Azioni di risposta per singoli nodi della sequenza di attacco informatico.

Per correggere un intero problema

1. Nella console di Cyber Protect, passare a Protezione > Problemi.
2. Nell'elenco dei problemi visualizzato, fare clic su nella colonna più a destra del problema per il quale avviare l'indagine. Viene visualizzata la sequenza dell'attacco informatico del problema selezionato.

3. Fare clic su Correggi intero problema. Viene visualizzata la finestra di dialogo Correggi intero problema.

   

4. Nella sezione Risultato dell'analisi, in base all'indagine sul problema corrente, selezionare una delle seguenti opzioni:
   • Vero positivo: Selezionare questa casella di controllo se si è certi che l'attacco sia un attacco legittimo. Al termine della selezione, aggiungere le azioni di correzione e prevenzione come descritto nei passaggi seguenti.
   • Falso positivo: Selezionare questa casella di controllo se si è certi che l'attacco non sia un attacco autentico. In questo modo, sarà possibile indicare come impedire che l'evento si verifichi di nuovo, ad esempio aggiungendo il problema a un elenco degli elementi consentiti di un piano di protezione.
     Dopo aver selezionato Falso positivo, è possibile definire soltanto azioni preventive. Per ulteriori informazioni, consultare Correggere un problema falso positivo.
5. Nella sezione Azioni di correzione, eseguire i passaggi correttivi indicati di seguito. Tenere presente che devono essere eseguiti in ordine sequenziale, ovvero non è possibile selezionare il Passaggio 2 prima che il Passaggio 1 sia completato.
   1. Passaggio 1 - Arresta minacce: Selezionare questa casella di controllo per arrestare tutti i processi correlati alla minaccia.
   2. Passaggio 2 - Minacce in quarantena: Una volta arrestata la minaccia, selezionare la casella di controllo per mettere in quarantena tutti i processi e i file ritenuti dannosi e sospetti.
   3. Passaggio 3 – Rollback modifiche: Dopo aver messo le minacce in quarantena, selezionare la casella di controllo per eliminare qualsiasi nuova voce del Registro di sistema, eventuali attività pianificate o file creati dalla minaccia (e da qualsiasi minaccia figlio correlata). Successivamente, il rollback ripristina qualsiasi modifica apportata dalla minaccia (o dai suoi figli) al Registro di sistema, alle attività pianificate e/o ai file esistenti nel workload prima dell'attacco. Per ottimizzare la velocità, il processo di rollback tenta di recuperare gli elementi dalla cache locale. Gli elementi impossibili da recuperare verranno ripristinati dal sistema a partire dalle immagini di backup.
      Il processo di rollback esegue il recupero solo dagli elementi presenti nella cache locale. Il rollback dagli archivi di backup sarà disponibile nelle release future.

      Selezionare la casella di controllo Consenti a questa azione di risposta di accedere ai backup crittografati utilizzando le credenziali archiviate se l'accesso ai backup di interesse è crittografato. EDR accede alle credenziali utente archiviate per decrittografare gli archivi criptati e cercare i file pertinenti.

      È anche possibile fare clic su Elementi interessati per visualizzare tutti gli elementi (file, Registro di sistema o attività pianificate) interessati dal rollback, le azioni applicate (Elimina, Ripristina o Nessuna), e se gli elementi vengono ripristinati dalla cache locale o dalle immagini di backup.

      

   4. Ripristina workload: Selezionare questa casella di controllo per ripristinare un workload nel caso in cui uno dei passaggi di correzione selezionati in precedenza non riesca parzialmente o completamente.

      

      Selezionare una delle seguenti opzioni di ripristino:

      • Ripristino del workload dal backup: Consente di ripristinare un workload da uno specifico punto di ripristino. Fare clic sull'icona di modifica del punto di ripristino per eseguire una selezione da un elenco di backup di ripristino.
      • Failover di disaster recovery: Consente di avviare un disaster recovery, se la funzionalità è abilitata nel piano di protezione. Questa opzione è consigliata per i workload critici, come i server AD o i server di database. Per ulteriori informazioni, consultare Implementazione del disaster recovery.
6. Nella sezione Azioni di prevenzione, selezionare i passaggi di correzione pertinenti:
   • Aggiungi all'elenco degli elementi bloccati: Selezionare la casella di controllo e, nell'elenco del piano di protezione visualizzato, selezionare i piani di protezione pertinenti. Questa azione di prevenzione garantisce che venga bloccata l'esecuzione di tutti i rilevamenti del problema per i piani di protezione selezionati.
   • Applica patch al workload: Selezionare la casella di controllo per applicare la patch a qualsiasi software vulnerabile e per impedire agli attaccanti di riuscire ad accedere al workload. È quindi possibile selezionare l'azione pertinente da eseguire una volta completata l'applicazione della patch (Non riavviare, Riavvia sempre o Riavvia se richiesto), a seconda che l'utente sia connesso o meno.

     

7. Selezionare la casella di controllo Modifica lo stato dell'indagine sul problema in: Chiuso. Se non selezionata, lo stato dell'indagine permane nello stato precedente.
8. Fare clic su Correggi. Le azioni correttive selezionate vengono eseguite passo dopo passo, e l'avanzamento di ogni passo viene visualizzato nella finestra di dialogo Correggi intero problema.

   Sul pulsante verrà visualizzata l'opzione Passa alle attività. Fare clic su Passa alle attività per rivedere le azioni di risposta applicate al problema. Per ulteriori informazioni, consultare Comprendere le azioni intraprese per mitigare un problema.