Issue:
Jag har avinstallerat sensor, hur tar jag bort enheten från Elements Endpoint Detection and Response-portalen?
Resolution:
Enheterna kan inte tas bort manuellt från Elements Endpoint Detection and Response-portalen. Inaktiva enheter kommer att finnas kvar i Elements Endpoint Detection and Response (EDR)-portalen Devices view i 90 dagar före borttagningen. Om en enhet blir aktiv efter borttagning visas den tillbaka i listan.
Här är en lista över de olika möjliga statuserna:
EDR Status och färgkod:
Aktiv | Grön = sett under de senaste 24 timmarna
Inaktiv | Gul = sett under de senaste 7 dagarna
Inaktiv | Röd = inte sett på 7 dagar
Enhetsdetaljerna tas inte bort från EDR-portalen omedelbart efter att t.ex. enheten har raderats från EPP-sidan eller klienten avinstallerats. Anledningen till detta är att EDR lagrar mycket händelse- och incident som kan vara relevant i Incident response som utförs efter att enheten tagits ur bruk. Enheten är en mycket viktig del av BCD-sammanhanget. Om information från enheten går förlorad kommer BCD- incident och potentiell IR (incident ) att bli svåra. Mycket ofta inleds incident eller bevisinsamling dagar eller veckor efter det. Redan borttagen enhet kan vara rotkälla eller en del av t.ex. sidorörelseaktivitet som upptäckts i BCD och incident . Av denna anledning behåller EDR-portalen enhetsinformation efter att en enhet har tagits bort för att möjliggöra fullständig incident .
Article no: 000007694
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.