安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.65
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","事件处置")}}

事件处置

更新时间:2022-07-29

对安全事件可以进行手动处置和联动处置,手动处置后的状态包括:已处置、处置中、挂起;联动处置是响应策略进行自动或手动处置。

手工处置

在[处置中心/威胁视角/安全事件]页面,勾选特定安全事件点击<操作>属性列下的<>图标,如下图所示。

勾选<已处置>,弹框中填写备注,必要时上传举证图片等,此时<处置状态>属性列会变为[已处置]状态,如下图所示。

可以下钻到事件详情页面进行手动处置,如下图所示。

可以下钻到安全事件的风险资产层面,按需对风险资产进行手工处置,如下图所示。

联动处置

在[处置中心/威胁视角/安全事件]页面,点击<>图标,弹出联动处置对话框,可以基于策略进行联动处置,如下图所示。

在对安全事件关联的具体风险主机颗粒度进行处置的时候,需要在事件详情的风险资产子页面,点击<>图标进行联动处置,如下图所示。

进入到联动处置对话框,可以看到可选的响应策略,包括内置策略中的:一键查杀、封锁域名/URL、虚拟机挂起、快照、新增虚拟机、虚拟机关机、隔离主机、冻结账号、上网提醒、冻结终端、访问控制等,还有通过克隆编辑或者自定义的策略,也可以根据安全事件/安全告警事件类型选择下拉,如下图所示。

点击<下一步>,会根据所选的动作进入到联动处置参数配置阶段,包括:匹配的联动设备选择、动作处置关联的选项等参数,不同的策略参数配置不一样,以内置的一键查杀策略为例,如下图所示。

点击<执行>,进行处置动作下发,可以看到页面上方提示<执行成功>,如下图所示。

在[处置中心/处置记录/策略执行历史]页面,可以看到既往的处置历史,包括状态、结果、策略相关的信息等,如下图所示。