更新时间:2023-12-20
进程阻断是指终止或阻止计算机系统上的某个进程的执行,用于防止恶意软件,如病毒、木马、间谍软件等,对系统造成危害,以确保系统安全。
阻断进程导航栏允许您统一查看已被EDR以及CWPP阻断的进程历史记录。目前该功能仅支持任意版本分布式XDR联动EDR3.0.34及以上版本以及CWPP3.3.39B5及以上版本有效。
通过响应管理->阻断进程统一查看XDR平台联动EDR/CWPP阻断进程信息,包括阻断进程匹配条件、阻断进程匹配参数、阻断记录关联事件以及进程阻断状态等,其中阻断记录匹配条件允许选择PID+MD5(推荐)、进程名 、MD5 、进程路径,选定阻断进程匹配条件之后,匹配参数会自动补充,默认联动设备为该威胁上报设备,无需更改。
例如XDR检测到主机主机存在访问lemonduck挖矿的通信域名的异常行为,通过分布式XDR自动威胁实体提取,可以快速在安全事件详情响应处置导航栏中找到被提取出来的威胁实体。
通过初步研判主机通过powershell进程发起恶意外联,需要对该进程进行阻断,进而阻止恶意文件落地主机本地磁盘上,勾选powershell进程,点击阻断进程,通过PID+MD5方式联动设备进行进程阻断。
进程阻断结果将实时更新,可通过响应管理->阻断进程查看阻断记录。