操作步骤

威胁事件支持“按事件类型”和“按终端”查看和处置。对于事件处置，两者入口不同，此处以“按事件类型”入口为例，介绍处置方法。

1. 参考操作入口介绍选择一种操作入口，进入“病毒文件”的威胁事件列表。

   本章节以“安全运营中心（威胁事件）”入口为例。

2. 筛选待处置事件，即“事件处置状态”为“未处置”、“处置失败”和“事件超时关闭”的事件。
   图1 病毒文件待处置事件

   

3. 单击待处理事件的“事件名称”列，查看威胁事件详情，根据“处置建议”并结合实际情况，处置病毒威胁事件。

   完成处置后，可以在“处置记录”页签查看处置记录。

   图2 病毒文件威胁事件详情

   

   • 快速处置
     • 隔离：将相关恶意文件移至该终端的隔离区，30天后自动清理。在此之前，您可以在终端详情界面的隔离区中恢复隔离文件。
     • 恢复：对于特定类型病毒（如：宏病毒）感染过的源文件，可恢复至感染前状态。执行恢复操作后，相关恶意文件先移至该终端的隔离区。如果源文件恢复成功，“事件处置状态”确认为“处置成功”；如果源文件恢复失败，“事件处置状态”确认为“处置失败”，并将隔离区相关恶意文件的文件名称加上“-restore”后，恢复至原路径。
   • 网络隔离：对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”，在隔离终端列表可以执行“恢复”操作。（只在服务首页入口的威胁事件列表中可操作）
   • 标记状态
     • 忽略：经过排查后发现事件无需处理或者是误报时，可以将此事件标记为“忽略”。标记为“忽略”后，后续无需再关注此事件。除打上“忽略”标记外不进行任何处理。
     • 已人工处置：您已根据具体的事件采取人工处置，比如对异常主机执行病毒查杀，并确认此主机已无安全风险。确认风险主机中已清除病毒文件后，将事件标记为“已人工处置”。除打上“已人工处置”标记外不进行任何处理。
     • 未处置：除打上“未处置”标记外不进行任何处理。
   • 威胁分析：呈现与该病毒文件有关的威胁信息。

4. （可选）单击事件名称，可进入事件详情页面。

   事件详情页面包含以下模块：

   • 事件详情：展示严重级别、事件类型、攻击阶段、攻击次数、终端名称、最近发生时间、最近更新时间、首次处置时间等具体数据。
   • 处置建议&处置记录：提供处置建议，并可通过单击“处置明细”查看处置记录。
   • 安全分析：展示该事件的检测原理及风险危害。
   • 威胁信息：若该病毒文件命中威胁信息库，展示具体数据；否则为空。
   • 取证信息：检出该病毒文件时的终端信息和行为信息。
   图3 病毒文件事件详情