المقدمة
يوضح هذا المستند كيفية إستعادة الملفات التي تم وضعها في الحجر الصحي بواسطة موصل نقطة النهاية الآمنة من وحدة تحكم نقطة النهاية الآمنة.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- وحدة تحكم نقطة النهاية الآمنة من Cisco
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:
- وحدة تحكم نقطة النهاية الآمنة v5.4.2025030619
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المشكلة
يمكن إسترداد الملفات التي تم حجبها بواسطة موصل نقطة النهاية الآمنة (SE) لتحليل الملفات أو عمليات الإرسال الإيجابية الخاطئة أو الاستعادة عندما يعرف عن الملف أنه آمن. يمكن للمسؤولين تنفيذ هذا الإجراء مباشرة من وحدة تحكم نقطة النهاية الآمنة.
الحل
1. انتقل إلى صفحة الأحداث على وحدة تحكم SE.
2. قم بتصفية الأحداث لإظهار جميع عمليات العزل الناجحة من خلال تحديد نوع حدث عامل التصفية = عزل التهديد.
نوع الحدث المحجر ضد التهديد
3. حدد حدث الكشف المقترن بالملف الذي تحتاج إلى استعادته.
4. قم بتوسيع تفاصيل الحدث للوصول إلى خيار إستعادة الملف. يؤدي تحديد إستعادة الملف إلى إستعادة الملف على الجهاز المتأثر. يؤدي تحديد كافة أجهزة الكمبيوتر إلى إستعادة الملف على كافة الأجهزة التي كان بها قيد الحجر الصحي.
خيارات إستعادة الملف
5. يمثل "الفاصل الزمني للنبضات" التردد الذي يتصل به الموصل بالمنزل لمعرفة ما إذا كانت هناك أية ملفات لاستعادتها من قبل المسؤول. يتم إستعادة الملفات بمجرد اتصال أجهزة الكمبيوتر المتأثرة أو حدوث الفاصل الزمني التالي لنبضات الفواصل.
6. إذا كان الملف موثوقا به، فقم بإضافته إلى قائمة السماح لمنع عزله مرة أخرى.
ملاحظة: تبقى الملفات في العزل لمدة 30 يوما أو عندما يصل مجلد العزل إلى 100 ميجابايت ويتم إزالة الملفات الأقدم. لا يمكن إستعادة الملفات المعزولة بعد الآن بعد إزالتها.
إذا كنت بحاجة ببساطة إلى تنزيل ملف محجر مؤقتا لتحليل التهديدات أو عمليات إرسال إيجابية خاطئة دون استعادته إلى بيئتك، فيمكنك إستخدام ميزة إحضار الملفات. خطوات لتنزيل ملف محجر جر:
1. انتقل إلى صفحة الأحداث على وحدة تحكم SE.
2. قم بتصفية الأحداث لإظهار جميع عمليات العزل الناجحة من خلال تحديد نوع حدث عامل التصفية = عزل التهديد.
3. حدد حدث الكشف المرتبط بالملف الذي تحتاج إلى تنزيله.
4. انقر فوق قيمة SHA-256 للملف المعزول للكشف عن خيار إحضار الملفات.
إحضار الملف
يوفر ذلك حالة إحضار الملف، والخيار لبدء الإحضار والوصول لعرض الملف في مستودع الملفات.
5. انقر فوق إحضار الملف، وحدد الكمبيوتر الذي تريد إسترداد الملف منه، ثم قم بالتأكيد بالنقر فوق إحضار.
6. يتم إرسال إعلام بالبريد الإلكتروني بمجرد تحميل الملف إلى مستودع الملفات.
7. بمجرد توفر الملف، يمكنك الاطلاع على الملف وخيار تنزيله في Analysis> مستودع الملفات.
تنزيل الملف
يتم ضغط جميع الملفات التي تم تنزيلها من مستودع الملفات وتحمي بكلمة مرور.
ملاحظة: لكي يعمل "إحضار الملفات" بشكل صحيح، يجب السماح بحركة مرور الشبكة إلى خادم "إحضار الملفات" المناسب استنادا إلى منطقة السحابة: أوروبا: rff.eu.amp.cisco.com أمريكا الشمالية: rff.amp.cisco.comAPJC: rff.apjc.amp.cisco.com. بالإضافة إلى ذلك، تأكد من تمكين مصادقة ثنائية العوامل (2FA) لحساب المسؤول، حيث أنه مطلوب لبدء طلب إحضار ملف بنجاح.
تلميح: يمكنك تصفية الأحداث باستخدام نوع الحدث = عملية إستعادة محجوزة فشلت وفشل نوع الحدث = عملية إحضار الملف في تحديد حالات الفشل ومراجعة الأسباب المقابلة لعمليات الاستعادة وجلب الملفات على التوالي.
إن يكون أنت يعجز أن يحيي المبرد يستعمل ال يلخص steps، اتصل ب cisco TAC وقدم ال .qrt مبرد يتواجد في ال C:\Program Files\Cisco\AMP\Quarantine دليل.