更新时间:2023-07-25
EDR支持从管理端对终端下发病毒查杀任务。通过结合本地信誉库、自研SAVE引擎、行为检测引擎、基因特征检测引擎、云查等多引擎对终端进行威胁文件扫描查杀。
病毒查杀方式包括“快速查杀”、“全盘查杀”和“强力专杀”,点击[快速查杀]右侧的三角可以选择查杀方式。快速查杀、全盘查杀和强力专杀区别如下表所示。
全盘查杀 |
扫描终端所有硬盘文件 |
快速查杀 |
扫描系统盘中重要文件目录,重要文件目录包括: Windows: /Windows、/Windows/system32本级目录和个人目录 /Windows/system32/drivers目录和其子目录 Linux: /bin、/sbin、/usr/sbin、/usr/bin、/lib、/lib64、 /usr/lib/usr/lib64、/usr/local/lib、/usr/local/lib64、 /tmp、/var/tmp、/dev、/proc MacOS : /private/tmp、/Users/“当前账户名”/Downloads、/Users/“当前账户名”/Desktop、/Users/“当前账户名”/Documents 信创终端: 用户桌面、/bin、/sbin、/usr/bin、/usr/sbin、/lib、/lib64、/usr/lib、/usr/lib64、/usr/local/lib、/usr/local/lib64、/tmp、/var/tmp、/dev |
强力专杀 |
对于难以处置干净的顽固病毒,可以在管理平台批量下发专杀工具进行处置,帮助客户在大规模感染难处置病毒时快速响应,暂时只支持Windows系统。 |
3.4.1.1.快速查杀/全盘查杀
打开[威胁检测/终端病毒查杀样],点击<快速查杀/全盘查杀>,进入查杀配置界面,如下图所示。
其中:
查杀终端:在可选终端页面管理员可查看近七天风险主机、最近一周/一个月/三个月未查杀终端及终端上次查杀时间,便于筛选需查杀终端,同时也支持针对终端名称或IP进行特定检索。
扫描模式:包括极速、智适应及低耗模式,差异如下:
• 极速:全速扫描,不限制扫描软件自身的CPU占用率(资源优化模式下则不超过50%);
• 智适应:根据终端CPU使用情况进行动态调节,解决了终端CPU空闲时充分利用CPU提高扫描速度、终端CPU繁忙时降低杀毒CPU消耗保障终端业务不卡顿;
• 低耗:扫描时尽量少占用CPU资源,限制CPU占用率不超过10%(资源优化模式下则不超过5%)。
• 说明:
智适应模式仅适用Windows终端和信创终端,Linux主机默认是均衡扫描模式、病毒查杀时限制CPU不超过30%。
感染型深度鉴定:当内网存在感染型病毒时,建议开启此引擎。此引擎只对windows终端有效,开启后会增加5%扫描时长。
选中待查杀终端,下发查杀任务。根据扫描状态过滤,查看不同查杀状态的终端,如下图。
点击具体终端右侧的<检测详情>可查看该终端查杀进度,如下图。
病毒查杀完成后,可查看此次查杀结果,主要展示信息包括任务类型、扫描模式、成功下发终端台数、扫描完成情况、终端终止终端,终端名称IP地址、所属组织、操作系统、终端状态、末处理病毒和病毒总数的情况、查杀状态等信息,如下图。
对查杀发现的威胁文件进行处置(隔离)、信任处理。如果威胁文件为可疑文件,可以点击[威胁分析]进入情报网站进行分析、通过情报分析结果作出进一步处理,如下图。
点击[查杀记录导出],支持导出一段时间内病毒查杀记录,如下图。
以表格形式导出病毒查杀记录,如下图。
3.4.1.2.强力专杀
对于难以处置干净的顽固病毒,可以在管理平台下发专杀工具进行批量处置,帮助客户在大规模感染难处置病毒时快速响应,暂时只支持Windows系统。
点击<强力专杀>,进入查杀配置界面,如下图所示。
上传专杀工具,选择要下发的windows终端,点击<下发并运行>
查看查杀任务状态为[扫描完成],说明强力专杀工具执行完成。