威胁响应可通过威胁终端/事件视角对全部威胁终端、已失陷终端、高可疑终端、低可疑终端、已隔离终端进行分析展示。

3.5.1.1.威胁终端视角

在威胁终端视角页面，可点击终端名称，跳转到该终端的<终端安全详情页面>，对威胁进行处置操作，并且可以对终端进行隔离操作，<威胁终端视角>和<终端安全详情>如下图所示。

根据威胁程度将威胁终端分为已失陷、高可疑、低可疑三级，各等级说明如下：

• 已失陷终端：发生了高危病毒、严重和高危行为威胁、高危Webshell后门、高危僵尸网络等威胁事件的终端；

• 高可疑终端：发生了中危病毒、中危行为威胁、中危僵尸网络、暴力破解这些威胁事件的终端；

• 低可疑终端：发生了低危病毒、低危Webshell后门、可疑powershell执行、低危僵尸网络等威胁事件的终端。

根据终端状态、终端类型、所属组织、最近发现时间、终端名称或IP地址进行筛选，帮助管理员运维。例如只处理在线的威胁终端事件，可以将终端状态作为筛选条件过滤在线的终端。

当发现威胁终端，可以对终端隔离处理，隔离后该终端将无法访问任何网络，请确保不会对业务系统产生影响，隔离后可在已隔离终端恢复，如下图。

3.5.1.2.威胁事件视角

在威胁事件视角页面，展示病毒查杀、勒索病毒、Webshell、高级威胁、暴力破解、powershell执行、僵尸网络等威胁事件说情，如下图。

根据终端状态、处理状态、文件类型、威胁等级、威胁类型、最近发生时间、终端名称/IP地址/病毒名称/文件路径进行筛选，帮助管理员运维。例如只处理在线的威胁事件，可以将终端状态作为筛选条件过滤在线的威胁事件。

点击威胁事件名称，了解威胁事件详情，如下图。

未处理标签

未处理标签展示检测到所有未处理的威胁事件。针对具体威胁事件可在右侧选择处置、信任、忽略等处置操作。选中需要隔离的威胁文件，点击<一键处置>，如下图。

选中[同时隔离其他终端上有相同MD5值的文件]，实现针对其它终端存在相同威胁文件批量处理；

选中[若终端隔离区空间不足时，自动清理隔离区后继续处置]，隔离文件时，检测到终端隔离区满会自动清理隔离区文件再进行隔离。

•   说明：

选中[若终端隔离区空间不足时，自动清理隔离区后继续处置]时，会按已隔离文件的先后顺序自动清理终端隔离区50%的文件。

如不确定文件是否为恶意，可通过云鉴定或点击<威胁分析>由情报中心进一步分析判断。

云鉴服务提供云端专家+沙箱+多引擎鉴定能力，在云查与情报基础上增加上述能力进行综合研判，过滤模糊判断仅提供100%必黑或必白结果。为您提供更精准、更可信的服务，让事件处置有依据、可闭环。

当管理端可以连接互联网，检测的威胁文件会自动进行云鉴定、并返回鉴定结果，对于未鉴定的文件，可以进行手动云鉴定。

云鉴完成后，可以点击“查看”按键，查看云鉴详细结果

已处置标签

已处置标签展示所有加入隔离区的威胁文件，可以对已处置文件彻底清除或恢复操作，如下图。

选中威胁文件，点击<一键处置>，批量删除终端隔离区文件；点击<一键恢复>，批量恢复隔离区文件，如下图。

支持一次支持处置1W个威胁文件，选中威胁文件，点击<一键处置>，点击<勾选所有项>，批量处置威胁文件，如下图。

3.5.1.3.勒索事件

勒索事件包括恶意文件和可疑行为。EDR不仅可以检测勒索病毒文件，还可以通过勒索AI引擎识别勒索行为，在勒索病毒未加密主机文件时，提前识别勒索风险及时阻止，避免主机文件被加密。

恶意文件

恶意文件指通过EDR杀毒引擎检出主机存在勒索病毒文件，如下图。检出恶意文件的处置动作和病毒查杀策略设置相关。

可疑行为

可疑行为指通过勒索AI引擎识别勒索行为（如勒索加密行为、投放勒索信行为、勒索诱饵等），在勒索病毒未加密主机文件时，提前识别勒索风险及时阻止，避免主机文件被加密，如下图。检出的可疑行为处置动作和勒索诱饵策略设置有关。

3.5.1.4.高级威胁展示

适用场景

针对新威胁场景、攻防对抗场景，如勒索攻击、钓鱼邮件等借助办公网突破内网的情况，可通过IOA规则匹配到勒索、钓鱼等相关攻击的异常行为（参考Att&ck，如异常注入、窃取凭证、提权行为等），及时告警威胁信息并对高危动作进行拦截 ，同时追溯发起攻击威胁程序的所在进程链，聚合所有异常行为形成准确的安全事件，协助定位攻击源头，并提供可闭环到启动项的能力，确保清理干净。

使用案例

下面以挖矿事件案例讲述高级威胁使用。

在例行运维过程中，安全管理员发现EDR高级威胁检测到多条挖矿行为、帐户激活、创建可疑文件等可疑行为告警，如下图。

查看安全事件，EDR检测出一起威胁等级“严重”的安全事件，如下图。EDR将终端多个可疑行为聚合成一个完整的攻击事件进行展示。

查看安全事件，已经多项匹配ATT&CK威胁矩阵模型，如下图。

攻击行为多次命中ATT&CK威胁模型中的执行、持久化、防御规避、凭据访问、探测、命令与控制、影响等战术。

点击安全事件<详情>，查看该安全事件威胁实体及异常行为告擎。

点击安全事件<深度分析>进行进程攻击链可视化溯源分析。

（1）攻击入口

攻击者通过远程桌面登录拿到测试机权限，投放攻击样本emulator.exe。执行样本后自动创建beacon.exe文件和进程。

（2）创建可疑任务计划实现持久化攻击

beacon.exe创建schtasts.exe进程，通过schtasts.exe进程创建可疑任务计划实现持久化攻击。

（3）执行混淆powershell命令绕过安全防护、实现攻击

beacon.exe创建powershell.exe进程，通过执行混淆powershell命令绕过安全防护、实现攻击。

（4）探测主机用户实现信息收集

beacon.exe创建svchost.exe进程，调用命令cmd /c quser探测主机用户信息实现信息收集。（5）激活主机guest用户实现持久化攻击

beacon.exe创建svchost.exe进程，调用命令net user guest /active激活主机guest用户实现持久化攻击。

（6）通过netsh创建可疑防火墙绕过名单

beacon.exe创建svchost.exe进程，调用命令netsh添加防火墙白名单规则、建立可疑连接，企图绕过防火墙安全防护。

（7）查看当前用户权限，收集敏感信息

beacon.exe创建xmrig.exe文件和进程，调用命令cmd /c whoami查看当前用户权限，收集敏感信息。

（8）下载挖矿病毒进行挖矿

beacon.exe创建xmrig.exe文件和进程，调用bitsadmin.exe下载病毒进行挖矿。

攻击事件处置：

1、溯源总结：

测试机感染了挖矿病毒。攻击样本emulator.exe创建了恶意文件beacon.exe和xmrig.exe，拉起了多个进程完成了执行、持久化、防御规避、凭据访问、探测、命令与控制等攻击行为。

2、处置方法如下：

（1）隔离恶意文件emulator.exe、beacon.exe、xmrig.exe。

（2）隔离终端，在不影响业务的情况下隔离终端、避免威胁横向扩散。

（3）威胁终端进行全盘查杀，清除残留项。

2、攻击者通过远程桌面登录/爆破获得权限、植入病毒，建议采用以下加固措施。

（1）关闭非必要的远程端口

（2）EDR开启远程桌面登录二次认证和暴力破解检测

（3）及时更新系统安全补丁