Карантин (конечная точка)
Что такое Карантин (конечная точка)?
Карантин (конечная точка)Действие endpoint-безопасности, которое переносит подозрительный файл из исходного места в контролируемое и обезвреженное хранилище — выполнить его нельзя, но можно проанализировать или восстановить.
Карантин — историческое действие AV, NGAV и EDR при признании файла вредоносным. Агент удаляет файл с диска (или блокирует доступ), шифрует его известным только ему ключом и сохраняет в защищённой директории — например, ProgramData\Microsoft\Windows Defender\Quarantine на Windows или /Library/Application Support/CrowdStrike на macOS — вместе с метаданными детекции. Defender, ESET, CrowdStrike, SentinelOne и Sophos предоставляют централизованные консоли, где администратор может посмотреть, выпустить файл после триажа или отправить образец в облачную лабораторию. Карантин отличается от изоляции конечной точки: он обезвреживает один файл, тогда как изоляция отключает весь хост. Оба действия часто оркестрируются SOAR-плейбуками при реагировании на инцидент.
● Примеры
- 01
Microsoft Defender помещает в карантин загруженный Word-документ с макросами и хранит зашифрованную копию для последующего анализа.
- 02
ESET Inspect возвращает из карантина PDF, ошибочно классифицированный как Bredolab, после триажа аналитика.
● Частые вопросы
Что такое Карантин (конечная точка)?
Действие endpoint-безопасности, которое переносит подозрительный файл из исходного места в контролируемое и обезвреженное хранилище — выполнить его нельзя, но можно проанализировать или восстановить. Относится к категории Защита и операции в кибербезопасности.
Что означает Карантин (конечная точка)?
Действие endpoint-безопасности, которое переносит подозрительный файл из исходного места в контролируемое и обезвреженное хранилище — выполнить его нельзя, но можно проанализировать или восстановить.
Как работает Карантин (конечная точка)?
Карантин — историческое действие AV, NGAV и EDR при признании файла вредоносным. Агент удаляет файл с диска (или блокирует доступ), шифрует его известным только ему ключом и сохраняет в защищённой директории — например, ProgramData\Microsoft\Windows Defender\Quarantine на Windows или /Library/Application Support/CrowdStrike на macOS — вместе с метаданными детекции. Defender, ESET, CrowdStrike, SentinelOne и Sophos предоставляют централизованные консоли, где администратор может посмотреть, выпустить файл после триажа или отправить образец в облачную лабораторию. Карантин отличается от изоляции конечной точки: он обезвреживает один файл, тогда как изоляция отключает весь хост. Оба действия часто оркестрируются SOAR-плейбуками при реагировании на инцидент.
Как защититься от Карантин (конечная точка)?
Защита от Карантин (конечная точка) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Карантин (конечная точка)?
Распространённые альтернативные названия: Карантин файла, Карантин ВПО, Карантин конечной точки.
● Связанные термины
- defense-ops№ 050
Антивирус (AV)
ПО для конечных точек, которое обнаруживает и удаляет вредоносные файлы с помощью баз сигнатур, сканирования файлов и базовой эвристики — историческая основа endpoint-безопасности.
- defense-ops№ 725
Антивирус нового поколения (NGAV)
Защита конечных точек, которая дополняет сигнатурное сканирование моделями машинного обучения, поведенческой аналитикой и предотвращением эксплойтов для остановки неизвестных и fileless-угроз.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
- defense-ops№ 381
Изоляция конечной точки
Действие EDR, отрезающее сетевое подключение скомпрометированного хоста (кроме каналов к средствам безопасности), чтобы атакующие не могли двигаться латерально, пока идёт расследование.
- forensics-ir№ 524
Реагирование на инциденты
Организованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.
- forensics-ir№ 650
Анализ вредоносного ПО
Структурированное исследование вредоносного образца для понимания его функциональности, происхождения, индикаторов компрометации и воздействия на затронутые системы.