可扩展的检测与响应平台XDR(SAAS)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验
点击可切换产品版本
知道了
不再提醒
SAASXDR
{{sendMatomoQuery("可扩展的检测与响应平台XDR(SAAS)","阻断进程")}}

阻断进程

更新时间:2023-12-20

进程阻断是指终止或阻止计算机系统上的某个进程的执行,用于防止恶意软件,如病毒、木马、间谍软件等,对系统造成危害,以确保系统安全。

阻断进程导航栏允许您统一查看已被EDR以及CWPP阻断的进程历史记录。目前该功能仅支持任意版本分布式XDR联动EDR3.0.34及以上版本以及CWPP3.3.39B5及以上版本有效。

通过响应管理->阻断进程统一查看XDR平台联动EDR/CWPP阻断进程信息,包括阻断进程匹配条件、阻断进程匹配参数、阻断记录关联事件以及进程阻断状态等,其中阻断记录匹配条件允许选择PID+MD5(推荐)、进程名 、MD5 、进程路径,选定阻断进程匹配条件之后,匹配参数会自动补充,默认联动设备为该威胁上报设备,无需更改。

例如XDR检测到主机主机存在访问lemonduck挖矿的通信域名的异常行为,通过分布式XDR自动威胁实体提取,可以快速在安全事件详情响应处置导航栏中找到被提取出来的威胁实体。

通过初步研判主机通过powershell进程发起恶意外联,需要对该进程进行阻断,进而阻止恶意文件落地主机本地磁盘上,勾选powershell进程,点击阻断进程,通过PID+MD5方式联动设备进行进程阻断。

进程阻断结果将实时更新,可通过响应管理->阻断进程查看阻断记录。