针对安全事件的操作主要有标记状态、处置事件、加白名单、修改事件名称,分别为:
同样支持将鼠标移动至具体安全事件上右键对安全事件进行操作。
选择一条事件,把鼠标放到事件名称上,点击“编辑事件信息”,修改事件名称和事件描述。
一键遏制功能主要用于快速对安全事件中的威胁实体进行一键遏制,目前主要针对外网攻击者以及恶意域名进行一键遏制,使用端网能力一键处置关键实体,实现外部威胁不入内网,关键数据不出内网,保证内网安全。
在安全事件列表以及安全事件详情页使用该功能实现联动网络侧以及端点侧设备对威胁实体的快速处置,提高安全运营效率。目前该功能仅支持任意版本XDR联动AF 8.0.74版本、EDR 3.5.35及以上版本以及CWPP 3.3.39_B6及以上版本生效。
场景一:XDR检测出安全事件,您需要对该事件中的攻击者以及实现主机恶意外联的域名进行快速封禁,实现对威胁的一键遏制。
点击安全事件导航栏,勾选需要处置的安全事件,点击一键遏制,XDR平台会自动帮助你提取出外网IP以及恶意域名,在弹出窗口中默认网侧设备全选AF设备进行封堵,端侧设备默认不勾选,如您需要可以勾选主机,XDR会自动关联主机所处的端点侧设备,点击确定实现威胁的一键遏制。
其中外网IP地址以及域名默认勾选,主机默认不勾选,如果勾选主机,端侧设备会自动关联。
一键遏制成功之后,安全事件状态变更为【已遏制】,通过响应管理菜单栏查看封堵详情。登录AF控制台查看前XDR联动封锁的外网IP地址以及域名,登录EDR控制台查看前XDR联动封锁的域名以及主机。例如查看联动网络侧设备(AF)设备封禁的地址信息如下图所示。
一键遏制的外网IP以及域名会被AF设备永久封禁,登录对应的AF设备控制台,在安全运营->黑白名单->黑名单->永久封锁名单看到XDR联动AF下发的封禁外网IP以及域名。
建议使用Chrome浏览器访问!
