更新时间:2022-07-29
通过对风险资产进行查看分析,管理可以使用以下方式对风险资产进行处置:
联动处置,联动处置通过响应策略,对风险资产进行处置。
手动处置,管理员通过多维度分析,可以对风险资产进行以下操作:
批量处置
在风险资产视角页面,可以勾选多个资产批量进行手工处置,如下图所示。
自动处置设置
在风险资产视角页面,点击<自动处置设置>,包括以下3种情况进行已处置状态自动
联动处置
针对资产发生僵尸网络、漏洞攻击、网络扫描窃听等事件,SIP可根据丰富的响应策略完成处置,帮助管理员细颗粒度且高效处置对应风险。
管理员选择需要处置的风险资产,点击“ ”,选择联动处置, 在联动处置导航页面,平台会提示选择处置方式,如下图所示。
可以根据安全事件/安全告警事件类型选择下拉,可以看到可选的响应策略,包括内置策略中的:一键查杀、封锁域名/URL、虚拟机挂起、快照、新增虚拟机、虚拟机关机、隔离主机、冻结账号、上网提醒、冻结终端、访问控制等,还有通过克隆编辑或者自定义的策略,如下图所示。
其中,在安装EDR的主机,产生edr可处置的安全事件情况下会根据具体情况自动判断使用“推荐快速扫描”、“推荐全盘扫描”、“推荐隔离主机”、“推荐使用黑进程处置”等推荐动作,如下图所示。
对于每一个联动处置策略,可以点击<>图标,直接跳转到该策略的画布浏览,如下图所示。
点击<下一步>,会根据所选的动作进入到联动处置参数配置阶段,包括:匹配的联动设备选择、动作处置关联的选项等参数,如下图所示。
点击<执行>,进行处置动作下发,可以看到页面上方提示<执行成功>,如下图所示。
在[处置中心/处置记录/策略执行历史]页面,可以看到既往的处置历史,包括状态、结果、策略相关的信息等,如下图所示。