更新时间:2024-06-03
3.2.4.1.资产隔离
当aES检测到安全事件,经过研判,主机已失陷或存在高风险时,可以选择隔离操作。主机隔离后仅aES管理端可访问主机,主机的其他所有入站和出站访问都会被拒绝。
以高级威胁中提权行为为例,点击<终端隔离>,即可对终端进行隔离。
点击<恢复>可取消对终端的隔离行为。
管理员也可手动添加IP的形式对已经安装aES客户端终端进行隔离,点击<隔离资产>,输入IP地址。
3.2.4.2.文件隔离
文件隔离主要展示Webshell文件隔离、和联动下发的文件隔离日志。
3.2.4.3.网络封堵
通过在失陷主机上配置网络访问控制策略(ACL)来限制攻击IP对主机的网络访问。
3.2.4.4.进程阻断
当aES检测到安全事件,经过研判,主机已失陷或存在高风险时,可以选择对该主机的j进程进行阻断操作。
点击<阻断进程>,输入已经安装aES客户端的资产IP地址,输出需要阻断的进程路径即可。
3.2.4.5.域名隔离
当aES检测到安全事件,经过研判,主机已失陷或存在高风险时,可以选择对访问的地址进行隔离操作。
点击<隔离终端>,输入已经安装aES客户端的资产IP地址,输出需要封堵的域名或IP即可。
• 说明:
该功能暂不支持Linux系统、国产化系统以及Windows Server 2008、Windows Server 2003。
3.2.4.6.联动处置
联动处置主要展示联动AF、SIP的处置动作,包括横向遏制、行为遏制、威胁清除。
横向遏制
横向遏制主要展示由联动AF、SIP,联动下发的端口网络遏制记录,管理员可以在aES设备上下发解除遏制。
行为遏制
行为遏制主要包括联动AF、SIP,联动下发的域名、进程等遏制记录,管理员可以通过aES设备查看。
威胁清除
行为遏制主要包括联动AF、SIP,联动下发清除恶意文件及回滚的记录,管理员可以通过aES设备查看。
对于根除的记录,点击<处置详情>可以查看处置详情,管理员也可以在aES设备上进行<一键回滚>。