更新时间:2024-07-06
使用指引
本文档将为您介绍开启 SASE-AF 功能后,平台对产生的安全日志做智能分析,将展示风险终端处置状态、待处置终端风险评级、防护总次数,以及详细的处置列表等。
前置条件
1. 用户使用硬件(RT引流器/SDW-R安智路由器)或软件的方式已接入深信服云安全访问服务平台,并开启了 SASE-AF 的安全防护功能。
2. 配置 EDR 推送的网页重定向设置。首先登录 EDR 终端管理系统复制推广 URL,然后在管理>通用>重定向页面>EDR安装提醒中填入 EDR 安装的推广链接。配置完成后,点击保存即可。
![](/_static/202407/258a0a663b3711ef84e6fa163e0bdd14.png)
![](/_static/202407/b788e8403b3711ef84e6fa163e0bdd14.png)
操作步骤
1. 登录云图,在【订阅商店】登入【SASE上网安全】,在左侧菜单栏选择安全防护>安全运营>风险调查页面,支持选择最近24小时、最近7天、最近30天三个时间维度,查看风险终端处置状态、待处置终端风险评级、防护总次数、EDR 安装率,以及详细的终端风险处置列表。
![](/_static/202211/1f3f6df06a1e11edb874fa163e0bdd14.png)
2. 在终端风险处置列表中,可以查看选择周期内所有终端用户的终端 MAC 地址、最近登录用户名、所属组、终端 IP、威胁日志数、威胁类型、EDR 状态以及处置状态。如果已经对终端用户做了病毒威胁相关的查杀,则可以点击操作一栏的标记已处置按钮,将当前用户的风险项设为已处置状态。
![](/_static/202211/699cd4326a1e11edb874fa163e0bdd14.png)
3. 如果检测到终端用户 EDR 状态显示为未安装,则可以点击对应用户的操作栏下的推送EDR,为终端用户推送安装 EDR 客户端。
![](/_static/202211/051fcea26a1f11edb874fa163e0bdd14.png)
点击效果预览,可查看终端用户推送 EDR 后的页面概览,如下所示:
![](/_static/202212/0eb1a525805a11edb874fa163e0bdd14.png)
4. 点击终端 MAC 地址,可查看终端用户详细信息,包括:处置建议、威胁举证,并可在处置建议中查看到 EDR 安装进度。
![](/_static/202211/6fa0fc376a2211edb874fa163e0bdd14.png)
![](/_static/202211/d0667b016a2211edb874fa163e0bdd14.png)
点击前往深信服威胁情报中心调查,可跳转深信服威胁情报中心,查询指定的域名、URL等威胁情报信息。
![](/_static/202211/baad3e686a2211edb874fa163e0bdd14.png)
5. 在左侧菜单栏选择安全防护>安全运营>处置记录,可查看风险终端的处置记录,并支持导出功能。
![](/_static/202212/018433b7805b11edb874fa163e0bdd14.png)
点击时间栏,可选择最近24小时、最近7天、最近30天、自定义不同时间维度查看指定周期内的处置记录。
![](/_static/202212/55094c9f805b11edb874fa163e0bdd14.png)