功能描述

1. 云安全中心提供安全事件从网络隔离、快照兜底，病毒处置的全栈的向导化处置。
2. 处置过程保证异常发生最小的RPO和RTO。云安全中心提供文件的处置前的灭活隔离，将该文件封存在一个独立的沙箱内。同时在处置之前，会自动进行一个快照，即使发生了误删除，可以快速通过恢复文件让业务正常，若系统崩溃无法进行开机时，也可以通过快照快速的恢复。
3. 支持封锁网络攻击事件，将源IP加入黑名单，防止由于网络攻击而导致的网络系统瘫痪、数据泄露、信息安全受到威胁等问题。

前提条件

无

注意事项

无

操作步骤

1. 进入[安全能力/安全事件管理/病毒事件]列表中，可对列表中的病毒事件进行处置、信任、忽略的操作。
2. 点击[处置]，建议勾选“执行出之前平台自动快照，以保留当前虚拟机数据”。

• 当快照成功后才进行处置，快照抑制时间为1小时（1台虚拟机1小时内手动处置多次，保留最早的一次快照）

• 处于一致性组内的虚拟机将创建一致性组快照

3. 点击<确认>按钮，执行处置，处置完成后，虚拟机安全风险时间中病毒事件恢复为0。

4. 点击<更多/查看安全详情>，进入[安全事件]列表，可以查看到上述处置的病毒事件。若病毒事件处置完成后业务异常，可点击<恢复>按钮：

• 恢复文件：所选择文件将会恢复到原位，该操作会覆盖已存在的同名文件，并且无法保证恢复此文件的安全性，默认恢复后所选择文件将会被标记为信任文件，请谨慎操作。

• 恢复快照：选择虚拟机快照进行恢复。注意：若进行快照恢复，虚拟机将恢复到所选时间点的状态，需确保已对虚拟机的数据进行了快照或备份，否则未被保护的数据将会丢失；恢复过程会对虚拟机进行关机，将造成业务中断，请选择业务低峰期恢复。

5. 进入[安全能力/安全事件管理/暴力破解]列表中，可对列表中的暴力破解事件进行封锁、信任、忽略的操作。

• 封锁处置后攻击源IP地址将会添加到永久封锁名单，进行通讯的流量都将被永久丢弃。处理后若业务异常，可在[设置/ 黑白名单管理/永久封锁黑名单]放通封锁IP。

6. 进入[安全能力/安全事件管理/网络攻击]列表中，可对列表中的网络攻击事件进行封锁、信任的操作。

• 封锁处置后攻击源IP地址将会添加到永久封锁名单，进行通讯的流量都将被永久丢弃。处理后若业务异常，可在[设置/ 黑白名单管理/永久封锁黑名单]放通封锁IP。