Issue:
J'ai désinstallé le capteur, comment supprimer l'appareil du portail Elements Endpoint Detection and Response ?
Resolution:
Les appareils ne peuvent pas être supprimés manuellement du portail Elements Endpoint Detection and Response. Les appareils inactifs resteront dans la vue Appareils du portail Elements Endpoint Detection and Response (EDR) pendant 90 jours avant la suppression. Si un périphérique redevient actif après sa suppression, il réapparaîtra dans la liste.
Voici une liste des différents statuts possibles :
Statut EDR et code couleur :
Actif | Vert = vu au cours des dernières 24 heures
Inactif | Jaune = vu au cours des 7 derniers jours
Inactif | Rouge = pas vu depuis 7 jours
Les détails de l'appareil ne sont pas supprimés du portail EDR immédiatement après, par exemple, l'appareil est supprimé du côté EPP ou le client est désinstallé. La raison en est que l'EDR stocke de nombreuses informations sur les événements et les incident qui peuvent être pertinentes dans la réponse aux incidents effectuée après la mise hors service de l'appareil. Le dispositif est une partie très importante du contexte BCD. Si les informations de l'appareil sont perdues, l'analyse de incident BCD et l'IR potentiel (réponse à incident ) deviendront difficiles. Très souvent, les enquêtes sur les incident ou la collecte des preuves commencent des jours ou des semaines après les faits. L'appareil déjà supprimé peut être une source racine ou faire partie, par exemple, d'une activité de mouvement latéral détectée dans le BCD et l'enquête sur incident . Pour cette raison, le portail EDR conserve les informations sur les appareils après la suppression d'un appareil pour permettre une enquête complète sur les incident .
Article no: 000007694
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.