平台通过对安全日志做智能分析,将展示在统计周期内,风险终端处置状态、待处置终端风险评级、防护总次数和待处置终端的EDR安装率,并提供威胁日志及处置建议。同时可以联动和推送深信服 EDR,促使终端用户安装 EDR 防病毒软件,最终实现风险终端的安全查杀,消除潜在的终端安全风险。
1、授权前置条件:控制台左下角【订阅中心】-【SASE-AF 云端安全防护】服务确认开通,若无授权,参考《SASE授权开通》章节。
2、引流前置条件:已通过硬件引流器(RT/SDW-R/AF)或引流客户端(BYOD客户端或ZTNA客户端)的方式成功接入云安全访问平台,控制台首页可看到用户在线,接入操作参考《安装部署》章节。
3、配置EDR推送的网页重定向设置。首先登录EDR终端系统,在【系统管理】-【终端部署】-【网页推广部署】复制推广URL,然后在【管理】-【通用】-【重定向页面】-【EDR安装提醒】中填入EDR安装的推广链接并保存。
1、登录云图,在【我的产品】登入【SASE上网安全】,在左侧菜单栏选择【分析】-【安全威胁分析】-【风险终端分析】页面。
支持选择最近24小时、最近7天、最近30天三个时间维度,查看风险终端处置状态、待处置终端风险评级、防护总次数、待处置终端的EDR 安装率,以及详细的终端风险威胁日志及处置建议。
2、在终端风险处置列表中,可以查看选择周期内所有安全事件的严重性、最近发生时间、终端MAC地址、最近登录用户名、所属部门、接入位置、终端 IP、威胁日志数、威胁类型、EDR 状态以及处置状态和可操作动作。
3、通过点击对应终端的MAC地址,可看到平台对于当前终端风险的处置建议,比如:调出安全日志、执行用户下线、添加 URL 过滤或者部署 EDR 进行终端查杀等。点击威胁举证,可查看当前终端的安全日志记录,用作进一步日志分析和威胁佐证。并可在处置建议中查看到该终端的EDR安装进度。
4、点击前往深信服威胁情报中心调查,可跳转深信服威胁情报中心页面,对特定的 URL/域名/IP 等做相关的查询动作,获取威胁情报信息。
5、回到【分析】-【安全威胁分析】-【风险调查】页面。如果检测到终端用户EDR状态显示为未安装,则可以点击对应用户的操作栏下的推送EDR按钮,为终端用户推送安装EDR客户端。
6、如果已经对终端用户做了风险威胁相关的查杀,则可以点击对应用户的操作栏下的标记已处置按钮,将当前终端的处置状态设为已处置状态。
7、在左侧菜单栏选择【日志】-【下一代防火墙】-【处置记录】页面,可查看风险终端的处置记录,并支持导出功能。
点击时间栏,可选择最近24小时、最近7天、最近30天和自定义时间范围,支持不同时间维度查看指定周期内的处置记录。
建议使用Chrome浏览器访问!
