本文档将为您介绍开启 SASE-AF 功能后,平台对产生的安全日志做智能分析,将展示风险终端处置状态、待处置终端风险评级、防护总次数,以及详细的处置列表等。
1. 用户使用硬件(RT引流器/SDW-R安智路由器)或软件的方式已接入深信服云安全访问服务平台,并开启了 SASE-AF 的安全防护功能。
2. 配置 EDR 推送的网页重定向设置。首先登录 EDR 终端管理系统复制推广 URL,然后在管理中填入 EDR 安装的推广链接。配置完成后,点击保存即可。
1. 登录云图,在【订阅商店】登入【SASE上网安全】,在左侧菜单栏选择安全防护>安全运营>风险调查页面,支持选择最近24小时、最近7天、最近30天三个时间维度,查看风险终端处置状态、待处置终端风险评级、防护总次数、EDR 安装率,以及详细的终端风险处置列表。
2. 在终端风险处置列表中,可以查看选择周期内所有终端用户的终端 MAC 地址、最近登录用户名、所属组、终端 IP、威胁日志数、威胁类型、EDR 状态以及处置状态。如果已经对终端用户做了病毒威胁相关的查杀,则可以点击操作一栏的标记已处置按钮,将当前用户的风险项设为已处置状态。
3. 如果检测到终端用户 EDR 状态显示为未安装,则可以点击对应用户的操作栏下的推送EDR,为终端用户推送安装 EDR 客户端。
点击效果预览,可查看终端用户推送 EDR 后的页面概览,如下所示:
4. 点击终端 MAC 地址,可查看终端用户详细信息,包括:处置建议、威胁举证,并可在处置建议中查看到 EDR 安装进度。
点击前往深信服威胁情报中心调查,可跳转深信服威胁情报中心,查询指定的域名、URL等威胁情报信息。
5. 在左侧菜单栏选择安全防护>安全运营>处置记录,可查看风险终端的处置记录,并支持导出功能。
点击时间栏,可选择最近24小时、最近7天、最近30天、自定义不同时间维度查看指定周期内的处置记录。
建议使用Chrome浏览器访问!
