更新时间:2024-06-03
在威胁资产分析页面,可点击终端名称,跳转到该终端的<终端安全详情页面>,对威胁进行处置操作,并且可以对终端进行隔离操作,<威胁终端视角>和<终端安全详情>如下图所示。
根据威胁程度将威胁终端分为已失陷、高可疑、低可疑三级,各等级说明如下:
• 已失陷终端:发生了高危病毒、严重和高危行为威胁、高危Webshell后门、高危僵尸网络等威胁事件的终端;
• 高可疑终端:发生了中危病毒、中危行为威胁、中危僵尸网络、暴力破解这些威胁事件的终端;
• 低可疑终端:发生了低危病毒、低危Webshell后门、可疑powershell执行、低危僵尸网络等威胁事件的终端。
根据终端状态、终端类型、所属组织、最近发现时间、终端名称或IP地址进行筛选,帮助管理员运维。例如只处理在线的威胁终端事件,可以将终端状态作为筛选条件过滤在线的终端。
当发现威胁终端,可以对终端隔离处理,隔离后该终端将无法访问任何网络,请确保不会对业务系统产生影响,隔离后可在已隔离终端恢复,如下图。