终端查询
查询对应终端的详细信息
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要查询的终端ID信息 |
1.人工填入对应的终端ID 2.从事件信息中获取对应资产ID 3. 从前序策略节点的输出结果中获取对应的终端ID |
样例
隔离终端
隔离对应的终端
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要查询的终端ID信息 |
1.人工填入对应的终端ID 2.从事件信息中获取对应资产ID 3.从前序策略节点的输出结果中获取对应的终端ID |
样例
取消终端隔离
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要查询的终端ID信息 |
1.人工填入对应的终端ID 2.从事件信息中获取对应资产ID 3. 从前序策略节点的输出结果中获取对应的终端ID |
样例
终端访问控制策略
对相应的终端下发访问控制策略,限制访问
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要查询的终端ID信息 |
1.人工填入对应的终端ID 2.从事件信息中获取对应终端ID 3. 从前序策略节点的输出结果中获取对应的终端ID |
|
被封锁的IP列表 |
需要限制访问的IP列表 |
1.人工输入需要限制的ip列表 2.从事件信息中获取对应IP字段的参数 |
|
封锁的端口 |
需要限制访问的端口号 |
1.人工输入需要限制的端口号 2.从事件信息中获取对应端口字段的参数 |
|
封锁的方向 |
选择需要控制的方向 |
选择:入站封锁、出站封锁、入出站全封锁 |
|
封锁的时长 |
封锁的时间长度,单位:分钟。-1表示永久 |
人工输入需要封堵的时长 |
样例
查看终端访问控制策略
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要查询的终端ID信息 |
1.人工填入对应的终端ID 2.从事件信息中获取对应终端ID 3. 从前序策略节点的输出结果中获取对应的终端ID |
样例
删除终端访问控制策略
|
字段 |
作用 |
策略执行时填写内容 |
|
策略ID |
需要删除的策略ID信息 |
1.人工填入对应的策略ID 2.前置节点获取终端访问控制策略的对应策略ID信息 |
样例
下发病毒扫描任务
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要下发任务的终端ID信息 |
1.人工填入对应的终端ID 2.从事件信息中获取对应终端ID 3. 从前序策略节点的输出结果中获取对应的终端ID |
|
扫描类型 |
选择进行病毒扫描的方式 |
选择:快速扫描、全盘扫描 |
|
CPU控速模式 |
选择病毒扫描对业务的影响 |
选择:低耗扫描、极速扫描、均衡扫描 |
|
处置方式 |
选择发现病毒的处置方式 |
选择:只上报不隔离、自动隔离 |
样例
下发恶意文件扫描任务
动作说明:
下发恶意文件扫描任务动作将“安全感知平台”扫描出的恶意文件信息中的“感染恶意文件的终端ID”、“恶意文件哈希值(MD5)”、“恶意文件发生时间的时间戳”文件信息传递给“终端检测与响应平台(EDR)”对这些文件进行查杀
|
字段 |
作用 |
策略执行时填写内容 |
|
感染恶意文件的终端ID |
需要下发任务的终端ID信息 |
从前序策略节点(深信服安全感知平台-获取事件的恶意文件信息动作)的输出结果中获取对应的终端ID |
|
恶意文件哈希值 |
需要下发到终端进行专杀的文件MD5 |
从前序策略节点(深信服安全感知平台-获取事件的恶意文件信息动作)的输出结果中获取对应的文件MD5 |
|
恶意文件发生时间的时间戳 |
需要下发到终端进行专杀的文件的发生时间的时间戳 |
从前序策略节点(深信服安全感知平台-获取事件的恶意文件信息动作)的输出结果中获取对应的文件的发生时间的时间戳 |
|
处置方式 |
选择发现病毒的处置方式 |
选择:以终端检测与响应平台配置的处置方式为准、只上报,不隔离 |
样例
下发威胁情报IP扫描任务
动作说明:
下发威胁情报IP扫描任务动作将“安全感知平台”扫描出的感染病毒信息中的“终端ID”、“威胁情报IP信息(IOC-IP)”传递给“终端检测与响应平台(EDR)”对指定感染病毒 - IP进行查杀
|
字段 |
作用 |
策略执行时填写内容 |
|
异常的终端ID |
需要下发任务的终端ID信息 |
从前序策略节点(深信服安全感知平台-获取感染病毒信息动作)的输出结果中获取对应的终端ID |
|
威胁情报IP信息 |
需要下发到终端进行举证的IP信息 |
从前序策略节点(深信服安全感知平台-获取感染病毒信息动作)的输出结果中获取对应的待举证IP |
|
处置方式 |
选择发现病毒的处置方式 |
选择:以终端检测与响应平台配置的处置方式为准、只上报,不隔离 |
样例
下发威胁情报病毒名称扫描任务
动作说明:
下发威胁情报病毒名称扫描任务动作将“安全感知平台”扫描出的感染病毒信息中的“终端ID”、“威胁情报病毒名称”传递给“终端检测与响应平台(EDR)”对指定感染病毒-病毒名称的病毒进行查杀。
|
字段 |
作用 |
策略执行时填写内容 |
|
异常的终端ID |
需要下发任务的终端ID信息 |
从前序策略节点(深信服安全感知平台-获取感染病毒信息动作)的输出结果中获取对应的终端ID |
|
威胁情报病毒名称 |
需要下发到终端进行专杀的病毒名称信息 |
从前序策略节点(深信服安全感知平台-获取感染病毒信息动作)的输出结果中获取对应的查杀的病毒名称 |
|
处置方式 |
选择发现病毒的处置方式 |
选择:以终端检测与响应平台配置的处置方式为准、只上报,不隔离 |
样例
下发文件处置任务
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要下发任务的终端ID信息 |
1.人工填入对应的终端ID 2.从事件信息中获取对应终端ID 3. 从前序策略节点的输出结果中获取对应的终端ID |
|
文件ID |
需要处置的文件ID |
从前置的节点获取对应的文件ID,如终端检测平台的查看病毒扫描结果动作 |
|
文件MD5 |
需要处置的文件对应的MD5 |
从前置的节点获取对应的文件MD5,如终端检测平台的查看病毒扫描结果动作 |
|
处置方式 |
对文件的具体处置方式 |
选择:隔离、信任、忽略、隔离恢复、信任移除 |
|
事件类型 |
选择该文件所对应的安全事件类型 |
选择:病毒事件、webshell事件、僵尸网络事件 |
|
文件风险等级 |
该文件的威胁等级 |
选择:无威胁、低威胁、中威胁、高威胁、未知威胁 |
|
文件状态 |
该文件当前的状态 |
选择:未处理、已隔离、隔离失败、已信任、已忽略、正在处理、正在恢复、正在删除、删除失败、恢复失败、文件修复成功、删除成功、已经加黑 |
|
需要处置的风险等级 |
期望处理的风险等级,文件风险比这个指标高才进行处理 |
选择:无威胁、低威胁、中威胁、高威胁 |
样例
下发webshell扫描任务
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要下发任务的终端ID信息 |
1.人工填入对应的终端ID 2.从事件信息中获取对应终端ID 3. 从前序策略节点的输出结果中获取对应的终端ID |
|
扫描类型 |
选择进行webshell扫描的方式 |
选择:扫描所有web服务目录下的文件 |
|
处置方式 |
选择发现病毒的处置方式 |
选择:只上报不隔离、自动隔离 |
样例
取消任务
|
字段 |
作用 |
策略执行时填写内容 |
|
任务ID |
选择需要取消的任务ID |
1.从策略的前序节点获取的终端检测平台下发的任务ID |
|
任务类型 |
选择对应的任务类型 |
根据选择的任务ID确定对应的类型 |
样例
查询任务扫描状态
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要查询任务的终端ID信息 |
1.从事件信息中获取对应终端ID 2. 从前序策略节点的输出结果中获取对应的终端ID |
|
任务ID |
选择需要查询的任务ID |
1.从策略的前序节点获取的终端检测平台下发的任务ID |
|
任务类型 |
选择对应的任务类型 |
根据选择的任务ID确定对应的类型 |
样例
查看病毒扫描结果
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要查询结果的终端ID信息 |
1.从事件信息中获取对应终端ID 2.从前序策略节点的输出结果中获取对应的终端ID |
|
任务ID |
选择需要查询结果的任务ID |
1.从前序策略节点的输出结果中获取的终端检测平台下发的病毒查杀任务ID |
样例
查看webshell扫描结果
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要查询结果的终端ID信息 |
1.从事件信息中获取对应终端ID 2.从前序策略节点的输出结果中获取对应的终端ID |
|
任务ID |
选择需要查询结果的任务ID |
1.从前序策略节点的输出结果中获取的终端检测平台下发的webshell查杀任务ID |
样例
查看文件处置结果
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要查询结果的终端ID信息 |
1.从事件信息中获取对应终端ID 2.从前序策略节点的输出结果中获取对应的终端ID |
|
文件ID |
选择需要查询结果的文件ID |
1.从前序策略节点的输出结果中获取的终端检测平台下发的文件处置任务对应的文件ID |
|
事件类型 |
选择查询结果对应的事件类型 |
选择:病毒事件、webshell事件、僵尸网络事件 |
样例
域名进程举证-旧
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要查询结果的终端ID信息 |
1.手动输入需要处理的终端ID 2.从事件信息中获取对应终端ID 3. 从前序策略节点的输出结果中获取对应的终端ID |
|
域名 |
需要进程举证的域名信息 |
1.从事件信息中获取对应的URL字段参数 |
样例
IOC联动溯源域名举证
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要查询结果的终端ID信息 |
1.手动输入需要处理的终端ID 2.从事件信息中获取对应终端ID 3. 从前序策略节点的输出结果中获取对应的终端ID |
|
域名 |
需要进程举证的域名信息 |
1.从事件信息中获取对应的URL字段参数 2.手动填入域名 |
|
溯源的时间长度 |
设定需要溯源举证的时间长度 |
|
|
溯源时间单位 |
设定溯源时间的单位 |
|
样例
IOC联动溯源五元组举证
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要查询结果的终端ID信息 |
1.手动输入需要处理的终端ID 2.从事件信息中获取对应终端ID 3. 从前序策略节点的输出结果中获取对应的终端ID |
|
源IP |
五元组中的源IP信息 |
1.从事件信息中获取对应的源IP字段参数 2.手动填入源IP |
|
源端口 |
五元组中的源端口信息 |
1.从事件信息中获取对应的源端口字段参数 2.手动填入源端口 |
|
目的IP |
五元组中的目的IP信息 |
1.从事件信息中获取对应的目的IP字段参数 2.手动填入目的IP |
|
目的端口 |
五元组中的目的端口信息 |
1.从事件信息中获取对应的目的端口字段参数 2.手动填入目的端口 |
|
协议类型 |
五元组中的协议类型 |
|
|
溯源的时间长度 |
设定需要溯源举证的时间长度 |
|
|
溯源时间单位 |
设定溯源时间的单位 |
|
样例
查询IOC联动溯源举证结果
|
字段 |
作用 |
策略执行时填写内容 |
|
任务ID |
需要查询结果的任务ID |
|
样例
IOC联动溯源五元组举证-自动查询
动作说明:
IOC联动溯源五元组举证-自动查询动作将“安全感知平台”扫描出的五元组信息传递给“终端检测与响应平台(EDR)”进行五元组举证,对比“IOC联动溯源域名举证”,这个动作支持自动查询,不用单独通过“查询IOC联动溯源举证结果”动作查询五元结果
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要下发任务的终端ID信息 |
从前序策略节点(深信服安全感知平台-获取隧道通信信息动作)的输出结果中获取对应的终端ID |
|
源IP |
需要下发到终端进行举证的五元组的源IP |
从前序策略节点(深信服安全感知平台-获取隧道通信信息动作)的输出结果中获取对应的五元组的源IP |
|
源端口 |
需要下发到终端进行举证的五元组的源端口 |
从前序策略节点(深信服安全感知平台-获取隧道通信信息动作)的输出结果中获取对应的五元组的源端口 |
|
目的IP |
需要下发到终端进行举证的五元组的目的IP |
从前序策略节点(深信服安全感知平台-获取隧道通信信息动作)的输出结果中获取对应的五元组的目的IP |
|
目的端口 |
需要下发到终端进行举证的五元组的目的端口 |
从前序策略节点(深信服安全感知平台-获取隧道通信信息动作)的输出结果中获取对应的五元组的目的端口 |
|
协议类型 |
需要下发到终端进行举证的五元组的协议类型 |
从前序策略节点(深信服安全感知平台-获取隧道通信信息动作)的输出结果中获取对应的五元组的协议类型 |
|
五元组发生时间的时间戳 |
需要下发到终端进行举证的五元组的发生时间的时间戳 |
从前序策略节点(深信服安全感知平台-获取隧道通信信息动作)的输出结果中获取对应的五元组的发生时间的时间戳 |
样例
DNS拦截
动作说明:
DNS拦截动作将“安全感知平台”扫描出的感染病毒信息中的“终端ID”、“域名”传递给“终端检测与响应平台(EDR)”对域名进行拦截
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要下发任务的终端ID信息 |
从前序策略节点(深信服安全感知平台-获取感染病毒信息动作)的输出结果中获取对应的终端ID |
|
域名 |
需要拦截的域名 |
从前序策略节点(深信服安全感知平台-获取感染病毒信息动作)的输出结果中获取对应的域名 |
样例
DNS放行
动作说明:
DNS放行动作将“DNS拦截”拦截的域名进行解除拦截
|
字段 |
作用 |
策略执行时填写内容 |
|
终端ID |
需要下发任务的终端ID信息 |
从前序策略节点的输出结果中获取对应的终端ID |
|
域名 |
需要解除拦截的域名 |
|
样例
建议使用Chrome浏览器访问!
