更新时间:2023-12-20
隔离恶意主机防止病毒、木马等恶意代码的传播,保护网络数据安全。隔离主机导航栏允许您统一查看已被XDR联动EDR以及CWPP隔离的主机信息,包括隔离主机IP、关联告警、关联事件、隔离状态以及联动设备等,主机被成功隔离后才进行解除隔离操作。
例如XDR检出感染lemonduck挖矿安全事件,为防止病毒、木马等恶意代码的传播,优先对该事件的受影响资产192.168.81.96进行主机隔离。
在安全事件详情页面点击相应处置按钮,找到主机,勾选受影响主机,点击隔离主机按钮。
隔离成功后可以在隔离主机导航栏中看到已隔离主机列表,如下图所示
受影响主机安全事件处置完成后,需要恢复该主机的业务访问。点击检测响应->响应管理,在隔离主机中选中具体的隔离主机记录,点击“解除隔离”。
解除隔离成功后,可以看到对应的隔离主机记录从隔离主机列表中消失,并且对应主机网络通信正常。
例如XDR检出Rootkit,为减轻对业务安全潜在的威胁,优先对该事件的受影响资产192.168.81.45进行主机隔离。在安全告警分析导航栏勾选告警,点击隔离主机按钮。
隔离成功后可以在隔离主机导航栏中看到已隔离主机列表,如下图所示
受影响主机安全告警处置完成后,需要恢复该主机的业务访问。点击检测响应->>响应管理,在隔离主机中选中具体的隔离主机记录,点击“解除隔离”。
解除隔离成功后,可以看到对应的隔离主机记录从隔离主机列表中消失,并且对应主机网络通信正常。