¿Cómo eliminar un dispositivo del portal Elements Endpoint Detection and Response?

Asunto:

He desinstalado el sensor, ¿Cómo elimino el dispositivo del portal Elements Endpoint Detection and Response?

Resolución:

Los dispositivos no se pueden eliminar manualmente del portal Elements Endpoint Detection and Response. Los dispositivos inactivos permanecerán en la vista Dispositivos del portal Elements Endpoint Detection and Response (EDR) durante 90 días antes de la eliminación. Si un dispositivo se vuelve activo después de la eliminación, volverá a aparecer en la lista.

Aquí hay una lista de los diferentes estados posibles:

EDR estado y código de color:

• Activo | Verde = Visto en las últimas 24 horas 
• Inactivo | Amarillo = Visto en los últimos 7 días 
• Inactivo | Rojo = No visto en 7 días

Los detalles del dispositivo no se eliminan del portal EDR inmediatamente después de que, por ejemplo, se elimine el dispositivo del lado EPP o se desinstale el cliente. La razón de esto es que EDR almacena una gran cantidad de información de eventos e incidentes que puede ser relevante en la respuesta a incidentes que se lleva a cabo después de que el dispositivo está fuera de uso. El dispositivo es una parte muy importante del contexto BCD. Si se pierde la información del dispositivo, el análisis de incidentes BCD y la IR (respuesta a incidentes) potencial se volverán difíciles. Muy a menudo, la investigación de incidentes o la recopilación de pruebas comienza días o semanas después del hecho. El dispositivo ya retirado podría ser una fuente raíz o parte de, por ejemplo, actividad de movimiento lateral detectada en BCD e investigación de incidentes. Por esta razón, el portal EDR conserva la información de los dispositivos después de que se haya eliminado un dispositivo para permitir una investigación completa del incidente.