执行结果页面是记录在处置中心,重保中心等页面通过执行联动策略后生成的IP,域名,URL,文件处置的执行结果,该结果分为5类,如下图所示。
触发联动封锁或者访问控制策略执行,在处置中心/处置记录/执行结果/联动封锁类以及访问控制类下可看到影响内网资产IP信息
这5类结果及其对应的应用动作如下表所示:
| 结果分类 |
对应的联动应用 |
对应的应用动作名称 |
|
联动封锁类 |
深信服下一代防火墙(v8.0.50及以上) |
新增IP封锁 |
| 删除IP封锁 |
||
| 新增地址黑名单 |
||
| 删除地址黑名单 |
||
| 深信服下一代防火墙(v8.0.8至v8.0.49) |
新增联动封锁 |
|
| 删除联动封锁 |
||
| 深信服网络控制器NAC |
新增终端冻结 |
|
| 修改终端冻结 |
||
| 删除终端冻结 |
||
| 深信服上网行为管理(v12.0.5) |
新增冻结账号 |
|
| 删除冻结账号 |
||
| 深信服上网行为管理(v12.0.27及以上) |
新增冻结账号 |
|
| 删除冻结账号 |
||
| 修改冻结账号 |
||
| 深信服终端检测与响应平台 |
隔离终端 |
|
| 取消隔离终端 |
||
| 深信服终端检测与响应平台(SASE版) |
隔离终端 |
|
| 取消隔离终端 |
||
|
访问控制类 |
深信服下一代防火墙(v8.0.50及以上) |
新增访问控制 |
| 删除访问控制 |
||
| 深信服下一代防火墙(v8.0.8至v8.0.49) |
新增访问控制 |
|
| 删除访问控制 |
||
| 修改访问控制 |
||
| 深信服应用交付 |
新增联动封锁 |
|
| 修改联动封锁 |
||
| 解除联动封锁 |
||
| 新增访问控制 |
||
| 修改访问控制 |
||
| 解除访问控制 |
||
| 深信服终端检测与响应平台 |
终端访问控制策略 |
|
| 删除终端访问控制策略 |
||
| 深信服终端检测与响应平台(SASE版) |
终端访问控制策略 |
|
| 删除终端访问控制策略 |
||
| 深信服超融合基础设施 |
新增分布式防火墙策略 |
|
| 修改分布式防火墙策略 |
||
| 批量删除分布之防火墙策略 |
||
| 上网提醒类 |
深信服上网行为管理(v12.0.5) |
新增上网提醒 |
| 深信服上网行为管理(v12.0.27及以上) |
新增上网提醒 |
|
|
文件处置类
|
深信服终端检测与响应平台 |
查杀病毒扫描结果 |
| 查看webshell扫描结果 |
||
| 查看文件处置结果 |
||
| IOC联动溯源域名举证 |
||
| IOC联动溯举证源五元组 |
||
| 查询IOC联动溯源举证结果 |
||
| 深信服终端检测与响应平台(SASE版) |
查看病毒扫描结果 |
|
| 查看webshell扫描结果 |
||
| 查看文件处置结果 |
||
| 进程取证类 |
统一端点安全管理系统(aES-EDR) |
IOC联动溯源五元组举证-自动查询 |
记录的数据属性可点击页面右上角的 "···" 按钮查看,如下图所示:
筛选栏:不同的数据类型的tab页支持不同的筛选条件,可自行选择筛选到所需数据。
搜索框:不同的数据类型的tab页支持不同的搜索类型,可自行搜索数据。
联动设备:联动设备表示的是这一条数据记录是SIP联动的哪一台设备下发的。
操作:目前支持 "联动封锁类" ,"访问控制类" 这两种数据的解除操作。
状态:当异常状态时,悬浮展示失败信息,可根据失败信息判断如何解决。
执行结果跳转:
能够跳转至执行结果的页面主要有2类,第1类:
在处置中心页面,成功通过一条数据执行了联动策略之后,可以在当前数据的右边操作列点击联动记录,在出现的弹窗中点击 "执行结果" 跳转至执行结果页面,查看到当前策略的执行结果信息,如图所示:
处置中心相关的页面有:
1.[风险资产视角]
2.[风险资产视角]的风险详情页面
3.[风险资产视角/资产详情/潜伏威胁黄金眼]
4.[风险用户视角/风险用户详情]
5.[威胁视角/安全事件]
6.[威胁视角/安全告警]
7.[分析中心/威胁专项分析]
8.[重保中心/实时告警分析]
第2类,在策略执行历史页面,可点击执行结果跳转至该条策略的执行结果信息,如下图所示。
建议使用Chrome浏览器访问!
