可扩展的检测与响应平台XDR(分布式)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。
点击可切换产品版本
知道了
不再提醒
2.0.20
{{sendMatomoQuery("可扩展的检测与响应平台XDR(分布式)","隔离主机")}}

隔离主机

更新时间:2023-11-20

隔离恶意主机防止病毒、木马等恶意代码的传播,保护网络数据安全。隔离主机导航栏允许您统一查看已被XDR联动EDR以及CWPP隔离的主机信息,包括隔离主机IP、关联告警、关联事件、隔离状态以及联动设备等,主机被成功隔离后才进行解除隔离操作。

例如XDR检出感染lemonduck挖矿安全事件,为防止病毒、木马等恶意代码的传播,优先对该事件的受影响资产192.168.81.96进行主机隔离。

在安全事件详情页面点击相应处置按钮,找到主机,勾选受影响主机,点击隔离主机按钮。

隔离成功后可以在隔离主机导航栏中看到已隔离主机列表,如下图所示

受影响主机安全事件处置完成后,需要恢复该主机的业务访问。点击检测响应->响应管理,在隔离主机中选中具体的隔离主机记录,点击“解除隔离”。

解除隔离成功后,可以看到对应的隔离主机记录从隔离主机列表中消失,并且对应主机网络通信正常。

例如XDR检出Rootkit,为减轻对业务安全潜在的威胁,优先对该事件的受影响资产192.168.81.45进行主机隔离。在安全告警分析导航栏勾选告警,点击隔离主机按钮。

隔离成功后可以在隔离主机导航栏中看到已隔离主机列表,如下图所示

受影响主机安全告警处置完成后,需要恢复该主机的业务访问。点击检测响应->>响应管理,在隔离主机中选中具体的隔离主机记录,点击“解除隔离”。

解除隔离成功后,可以看到对应的隔离主机记录从隔离主机列表中消失,并且对应主机网络通信正常。