-
操作步骤 参考操作入口介绍选择一种操作入口,进入“高级威胁”的威胁事件列表。 本章节以“安全运营中心(威胁事件)”入口为例。 筛选待处置事件,即“事件处置状态”为“未处置”、“处置失败”和“事件超时关闭”的事件。 图1 高级威胁待处置事件 单击待处理事件的“事件名称”列,查看威胁事件详情,根据“处置建议”并结合实际情况,处置高级威胁事件。 不同类型的高级威胁事件,支持的处置能力不同。完成处置后,可以在“处置记录”页签查看处置记录。 图2 高级威胁事件详情 表1 处置操作 事件类型 处置操作说明 异常登录/暴力破解 快速处置:将可疑的登录IP加入黑名单,来自黑名单IP的登录请求会被阻断。 忽略:除打上“忽略”标记外不进行任何处理。 已修复:除打上“已修复”标记外不进行任何处理。 说明: 当检测到异常登录或暴力破解行为时,云端会联动边界防护与响应服务进行处置。 企业内网存在DNS服务器和NAT设备的场景下,不支持封禁攻击源,租户点击“快速处置”后提示失败。 处置威胁事件后,您可以单击对应事件名称,在“处置记录”区域,查看对应的处置动作。 异常进程/其他类型 快速处置:默认情况下,运行中的进程和相关文件会按照“推荐处置动作”处置;如果用户期望对进程或文件进行自定义处置,可手动更改处置动作。 忽略:除打上忽略标记外不进行任何处理。 终止:立刻终止运行中的进程。 隔离:将相关恶意文件移至该终端的隔离区,30天后自动清理。在此之前,您可以在终端详情界面的隔离区中恢复隔离文件。 忽略:除打上“忽略”标记外不进行任何处理。 已修复:除打上“已修复”标记外不进行任何处理。 网络隔离:对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”,在隔离终端列表可以执行“恢复”操作。(只在服务首页入口的威胁事件列表中可操作) 说明: 处置威胁事件后,您可以单击对应事件名称,在“处置记录”区域,查看对应的处置动作。 (可选)如果用户需要查看高级威胁详细信息,请单击“威胁分析”和“路径分析”查看。 威胁分析:展示攻击源和目的终端,以及对应事件的安全分析、取证信息和威胁信息。 路径分析:展示对应事件的攻击链和进程树。 图3 路径分析 单击“路径分析”页签后,云端将通过智能分析关联到新的风险项并自动添加到快速处置项中,可单击“快速处置”对攻击链上所有恶意进程或文件进行清理。若攻击链上涉及到暴力破解威胁事件,将一并进行处置,同时封禁外部攻击源。 “事件类型”为“异常登录”、“暴力破解”、“异常进程”的高级威胁,不支持此项功能。 忽略:除打上忽略标记外不进行任何处理。 终止:立刻终止运行中的进程。 隔离:将相关恶意文件移至该终端的隔离区,30天后自动清理。在此之前,您可以在终端详情界面的隔离区中恢复隔离文件。 删除:删除由威胁事件衍生的恶意定时任务。
-
相关操作 高级威胁事件支持导出,单次最多可导出10万条数据,具体导出方法如下所示。 在高级威胁事件列表中,按需筛选并导出高级威胁事件。 导出全部高级威胁事件:单击“导出”,选择“导出全部”。 导出部分高级威胁事件:勾选部分数据,单击“导出”,选择“导出选中”。 在风险提示窗口,勾选“我已仔细阅读操作提示并充分理解此操作的业务影响”,单击“确定”。 导出完成后,单击导出提示框的“下载中心”进入详情页面,在需要下载的文件的操作列,单击“下载”即可。
-
背景信息 高级威胁事件是指因终端上的恶意进程产生的威胁事件,包括异常登录、暴力破解、异常事件等非法入侵行为。 针对高级威胁事件,云端有如下几种处置方式: 云端智能分析后推荐处置规则,并成功终止进程和隔离相关文件,其状态显示为“处置成功”。 云端智能分析后无法推荐处置规则,由安全运营专家进一步分析后手动下发处置规则,成功终止进程和隔离相关文件,其状态显示为“处置成功”。 云端智能分析和安全运营专家根据现有信息无法处置,需要租户进行人工处置时,其状态显示为“未处置”。 租户需要对“未处置”的高级威胁事件进行处置,处置方法包括“快速处置”和“标记状态”。 快速处置:使用系统推荐的快速处置方式,租户需核实确认并进行处置下发。处置过程中高级威胁事件显示为“处置中”,处置成功则返回状态“处置成功”,处置失败则返回状态“处置失败”。 标记状态:租户可手动对高级威胁事件进行标记,标记后处置状态分别显示为“忽略”、“已修复”。 网络隔离:对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”,在隔离终端列表可以执行“恢复”操作。(只在服务首页入口的威胁事件列表中可操作)
-
相关操作 RASP防护事件支持导出,单次最多可导出10万条数据,具体导出方法如下所示。 在RASP防护事件列表中,按需筛选并导出RASP防护事件。 导出全部RASP防护事件:单击“导出”,选择“导出全部”。 导出部分RASP防护事件:勾选部分数据,单击“导出”,选择“导出选中”。 在风险提示窗口,勾选“我已仔细阅读操作提示并充分理解此操作的业务影响”,单击“确定”。 导出完成后,单击导出提示框的“下载中心”进入详情页面,在需要下载的文件的操作列,单击“下载”即可。
-
背景信息 RASP( Runtime Application Self-Protection ,运行时应用自我保护)。RASP使应用程序在运行环境中具备运行时自我防护能力,可监测应用运行环境中(如JVM)中的应用程序执行情况(应用逻辑、配置、数据和事件流等),在符合特定安全条件时进行控制,采取必要的防护措施(如终止用户会话、终止应用程序、告警)。 RASP防护事件存在聚合机制,对于终端、事件名称、进程ID、攻击源IP、攻击路径uri、攻击内容payload都相同的告警事件在一天内不会重复展示,只会增加攻击次数。
