人工响应
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择高级威胁检测与响应 > 威胁响应。
2. 在威胁响应页面,选择人工响应模块,可以单击创建任务,支持对威胁文件、进程、终端、账户等采用隔离、阻断等处置手段,同时也支持恢复隔离的进程、文件等,可以按照自身需求事实下发处置任务快速清除安全风险。
3. 在创建任务页面,选择执行动作和执行范围,单击下发任务。
模块 | 处置任务 | 具体操作 | 示例 |
威胁处置 | 隔离文件 | 将文件加入隔离区限制其运行。 选择系统:Windows、macOS。 添加文件路径、MD5,支持添加多个。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  |
自动隔离文件 | 创建目标文件后,该文件将会自动添加到隔离区。 选择系统:Windows、macOS。 添加文件路径、MD5,支持添加多个。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  | |
隔离进程 | 结束运行进程,并将进程文件加入隔离区限制其运行。 选择系统:Windows、macOS 添加进程名、进程pid、进程路径、文件MD5,支持添加多个 选择执行范围,支持选择执行范围或者是例外的范围 添加任务备注,回溯任务更清晰 填写完成后注意下发任务执行操作 |  | |
禁止启动进程 | 禁止进程启动后,将无法创建该进程。 仅适用于 Windows 系统。 添加进程pid、进程路径、文件 MD5,支持添加多个。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  | |
阻断网络连接 | 修改终端网略配置,限制访问特定网络。 选择系统:Windows、macOS。 添加网络(域名或 IP)、端口,支持添加多个。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  | |
隔离终端 | 修改终端防火墙策略配置,限制终端与外界通信。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  | |
删除账户 | 将特定的账户从电脑系统中移除。 仅适用于 Windows 系统。 添加用户名,支持添加多个。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  | |
禁用账户 | 将特定的账户从电脑系统中禁用。 仅适用于 Windows 系统。 添加用户名,支持添加多个。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  | |
计划任务清理 | 删除恶意任务相关文件,阻止计划任务执行。 仅适用于 Windows 系统。 添加任务名、文件路径、文件 MD5,支持添加多个。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  | |
系统服务清理 | 删除恶意服务相关文件,阻止服务在未来重新执行。 仅适用于 Windows 系统。 添加服务名、文件路径、文件 MD5,支持添加多个。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  | |
注册表清理 | 删除恶意注册表项,防止恶意软件运行传播。 仅适用于 Windows 系统。 添加注册表路径、文件路径、文件 MD5,支持添加多个。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  | |
隔离恢复 | 恢复隔离文件 | 将文件从隔离区恢复。 选择系统:Windows、macOS。 添加文件名称、文件路径、文件MD5,支持添加多个。 说明: 文件名称、文件路径、文件MD5任填其中一项即可,若同时填写会取交集生效。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  |
恢复自动隔离文件 | 将自动隔离文件从隔离区恢复。 选择系统:Windows、macOS。 添加文件名称、文件路径、文件 MD5,支持添加多个。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  | |
恢复禁止启动进程 | 取消被禁止启动的进程,允许目标进程创建。 仅适用于Windows系统。 添加进程路径、文件MD5,支持添加多个。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  | |
恢复阻断网络连接 | 修改终端网络配置,恢复已限制网略地址的访问。 选择系统:Windows、macOS。 添加网络(域名或IP)、端口,支持添加多个。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  | |
恢复隔离终端 | 排除终端内网横移风险后,恢复已隔离终端的网络通信。 选择系统:Windows、macOS。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  | |
启用账户 | 排除风险后,启用已禁止的账户。 仅适用于 Windows 系统。 添加用户名,支持添加多个。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  | |
病毒查杀 | 病毒查杀 | 针对终端操作系统易感染的位置进行病毒扫描,用时较少。 选择系统:Windows、macOS。 扫描设置: 扫描类型,可选择全盘或者快速扫描,全盘扫描占用内存以及耗时较久。 扫描结果处置:仅扫描或者将病毒文件隔离后删除。 客户端信任区管理:勾选后,信任区内威胁较大的病毒文件将被清理并重新纳入扫描检测范围。 硬盘文件扫描范围:勾选后,本次扫描的硬盘文件类型仅覆盖文档文件,以缩短扫描耗时间。 选择执行范围,支持选择执行范围或者是例外的范围。 添加任务备注,回溯任务更清晰。 填写完成后注意下发任务执行操作。 |  |
自动响应
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择高级威胁检测与响应 > 威胁响应。
2. 在威胁响应页面,选择自动响应模块,单击创建自动响应规则,在命中该规则后,系统将会自动将对应的文件进行处置,包含隔离终端以及病毒查杀等处置任务。
3. 在新建自动响应页面,配置相关参数,单击保存。
3.1 编辑基本信息。
参数名称 | 说明 |
规则名称 | 自动响应规则名称。 |
规则描述 | 添加该处置规则的描述,便于后续查看以及修改。 |
是否启用 | 默认启用。 |
3.2 适用范围。
支持同时多选Windows、macOS,每勾选一个系统都需要确认生效范围,默认终端为全网终端,支持例外终端配置。
3.3 规则自定义。
3.3.1 触发条件配置:支持单独添加条件或者条件组,其中条件选择字段类型包含告警名称、动作、操作者节点、目标节点,选择字段后可以设置对应字段值和逻辑关系,每个字段条件关系默认为且,可以修改为或。
3.3.2 响应任务配置:当满足触发条件时,会自动下发响应任务,支持隔离终端以及病毒查杀任务。
威胁管控
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择高级威胁检测与响应 > 威胁响应。
2. 在威胁响应页面,选择威胁管控模块。
单击前往进程管控,跳转至进程管控策略。
单击前往拉黑/加白文件,跳转至病毒查杀策略。
人工响应任务列表
单击任务列表,数据概览统计图可查看进行中任务/任务总数、进行中的重点任务分布、任务处置趋势图。
在任务列表中,可以看到具体的任务类型、任务状态、任务对象、执行动作等字段信息,单击
在任务列表中,单击查看详情,支持查看任务执行详细信息。
自动响应列表
在自动响应列表中,以规则维度进行展示,单击展开列表可以看到触发该规则的任务 ID、任务类型、任务对象等信息,支持查看详情。
在自动响应列表中,规则直接进行编辑、删除、启用、禁止等操作。
