安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.77
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","风险用户处置")}}

风险用户处置

更新时间:2023-05-25

设备联动处置

[处置中心/风险用户视角]页面下,可以看到风险用户列表,点击具体的风险用户下钻到风险用户详情页面,可以看到关联的安全事件,点击每一条安全事件的操作字段“”,可以根据关联的用户设备来源进行风险用户处置,如下图所示。

进入到联动处置对话框,根据安全事件/安全告警事件类型选择下拉,可以看到可选的响应策略,包括内置策略中的:一键查杀、封锁域名/URL、虚拟机挂起、快照、新增虚拟机、虚拟机关机、隔离主机、冻结账号、上网提醒、冻结终端、访问控制等,还有通过克隆编辑或者自定义的策略,示例以内置的一键查杀策略为例,如下图所示。

点击<下一步>,会根据所选的动作进入到联动处置参数配置阶段,包括:匹配的联动设备选择、动作处置关联的选项等参数,如下图所示。

点击<执行>,进行处置动作下发,可以看到页面上方提示<执行成功>,如下图所示。

[处置中心/处置记录/策略执行历史]页面,可以看到既往的处置历史,包括状态、结果、策略相关的信息等,如下图所示。

手动处置

除通过联动设备处置风险用户外,也可以手动处置,手动处置后处置状态会发生变化,选中风险用户下钻到风险用户详情页面,如下图所示。

[操作]字段 “”图标选项,下拉包括[已处置][处置中][挂起]三个选项,如下图所示。

已处置:表示该资产的风险已处置,支持备注以及上传图片,方便后需溯源。

处置中:表示该资产的风险正在处置中,仍需关注。

挂起:表示该资产的风险,管理员已经了解,但当前没有处理,等待后续进行处置。