平台通过对安全日志做智能分析,将展示在统计周期内,风险终端处置状态、待处置终端风险评级、防护总次数和待处置终端的EDR安装率,并提供威胁日志及处置建议。同时可以联动和推送深信服 EDR,促使终端用户安装 EDR 防病毒软件,最终实现风险终端的安全查杀,消除潜在的终端安全风险。
1.用户使用硬件(RT引流器/SDW-R安智路由器)或软件的方式已接入深信服云安全访问服务平台,并开启了SASE-AF的安全防护功能。
2.配置EDR推送的网页重定向设置。首先登录EDR终端系统,在系统管理>终端部署>网页推广部署复制推广URL,然后在管理>通用>重定向页面>EDR安装提醒中填入EDR安装的推广链接并保存。
步骤一: 登录云图,在【订阅商店】登入【SASE上网安全】,在左侧菜单栏选择分析>安全威胁分析>风险调查页面。
支持选择最近24小时、最近7天、最近30天三个时间维度,查看风险终端处置状态、待处置终端风险评级、防护总次数、待处置终端的EDR 安装率,以及详细的终端风险威胁日志及处置建议。
步骤二:在终端风险处置列表中,可以查看选择周期内所有安全事件的严重性、最近发生时间、终端MAC地址、最近登录用户名、所属部门、接入位置、终端 IP、威胁日志数、威胁类型、EDR 状态以及处置状态和可操作动作。
步骤三:通过点击对应终端的MAC地址,可看到平台对于当前终端风险的处置建议,比如:调出安全日志、执行用户下线、添加 URL 过滤或者部署 EDR 进行终端查杀等。点击威胁举证,可查看当前终端的安全日志记录,用作进一步日志分析和威胁佐证。并可在处置建议中查看到该终端的EDR安装进度。
步骤四:点击前往深信服威胁情报中心调查,可跳转深信服威胁情报中心页面,对特定的 URL/域名/IP 等做相关的查询动作,获取威胁情报信息。
步骤五:回到分析>安全威胁分析>风险调查页面。如果检测到终端用户EDR状态显示为未安装,则可以点击对应用户的操作栏下的推送EDR按钮,为终端用户推送安装EDR客户端。
步骤六:如果已经对终端用户做了风险威胁相关的查杀,则可以点击对应用户的操作栏下的标记已处置按钮,将当前终端的处置状态设为已处置状态。
步骤七:在左侧菜单栏选择日志>下一代防火墙>处置记录页面,可查看风险终端的处置记录,并支持导出功能。
点击时间栏,可选择最近24小时、最近7天、最近30天、自定义不同时间维度查看指定周期内的处置记录。
建议使用Chrome浏览器访问!
