安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.65
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","风险资产处置")}}

风险资产处置

更新时间:2022-07-29

通过对风险资产进行查看分析,管理可以使用以下方式对风险资产进行处置:

  1. 联动处置,联动处置通过响应策略,对风险资产进行处置。

  2. 手动处置,管理员通过多维度分析,可以对风险资产进行以下操作:

  • 标为已处置:表示该资产的风险已处置,支持备注以及上传图片,方便后需溯源。

  • 标为处置中:表示该资产的风险正在处置中,未处理完结,仍需关注。

  • 标记挂起:表示该资产的风险,管理员已经了解,但当前没有处理,等待后续进行处置。

批量处置

在风险资产视角页面,可以勾选多个资产批量进行手工处置,如下图所示。

自动处置设置

在风险资产视角页面,点击<自动处置设置>,包括以下3种情况进行已处置状态自动

  • 若资产在多少天以内未发生新的安全事件,自动转为已处置状态,时间区间可以自定义;

  • 通过EDR溯源,未发现黑进程,则事件处置状态标为已处置;

  • 若EDR侧资产状态为正常,则风险资产标为已处置。

    如下图所示。

联动处置

针对资产发生僵尸网络、漏洞攻击、网络扫描窃听等事件,SIP可根据丰富的响应策略完成处置,帮助管理员细颗粒度且高效处置对应风险。

  1. 管理员选择需要处置的风险资产,点击“ ”,选择联动处置, 在联动处置导航页面,平台会提示选择处置方式,如下图所示。

    可以根据安全事件/安全告警事件类型选择下拉,可以看到可选的响应策略,包括内置策略中的:一键查杀、封锁域名/URL、虚拟机挂起、快照、新增虚拟机、虚拟机关机、隔离主机、冻结账号、上网提醒、冻结终端、访问控制等,还有通过克隆编辑或者自定义的策略,如下图所示。

    其中,在安装EDR的主机,产生edr可处置的安全事件情况下会根据具体情况自动判断使用“推荐快速扫描”、“推荐全盘扫描”、“推荐隔离主机”、“推荐使用黑进程处置”等推荐动作,如下图所示。

    对于每一个联动处置策略,可以点击<>图标,直接跳转到该策略的画布浏览,如下图所示。

    点击<下一步>,会根据所选的动作进入到联动处置参数配置阶段,包括:匹配的联动设备选择、动作处置关联的选项等参数,如下图所示。

    点击<执行>,进行处置动作下发,可以看到页面上方提示<执行成功>,如下图所示。

    在[处置中心/处置记录/策略执行历史]页面,可以看到既往的处置历史,包括状态、结果、策略相关的信息等,如下图所示。