更新时间:2023-05-12 GMT+08:00

恶意文件

背景信息

华为乾坤根据天关提供的日志判断威胁事件的威胁类型,如果威胁事件的威胁类型为AV/CDE,则此威胁事件被识别为恶意文件。

针对恶意文件,有如下几种处置方式:

  • 华为乾坤智能分析后成功下发IP黑名单,其状态显示为“已拦截”
  • 天关检测到恶意文件时已拦截,其状态显示为“已拦截”
  • 华为乾坤智能分析后向租户发送短信和邮件告警,其状态显示为“未处置”
  • 华为乾坤智能分析后根据现有信息无法处置,或者天关未拦截时,其状态显示为“未处置”

租户需要对“未处置”的恶意文件进行处置,处置后将其状态标记为已人工处置或已忽略。

操作步骤

  1. 登录华为乾坤控制台,选择 > 我的服务 > 边界防护与响应
  2. 在右上角菜单栏选择威胁事件
  3. 查看恶意文件概览,并单击数据或“查看更多”进入相应处理页面。

    图1 恶意文件概览

  4. 针对未处置的恶意文件标记状态。

    • 已人工处置

      租户根据具体的事件采取人工处置,比如根据事件的源、目的地址、文件名等查找并清除恶意文件。

      确认风险主机中已清除恶意文件后,在操作列将事件标记为“已人工处置”

    • 忽略

      租户经过排查后发现为误报或无需处理时,在操作列将事件标记为“忽略”。后续就不用再关注此事件。

    如果您不知如何处置,或者处置后未能有效解决,请求助对应MSSP安全云服务商或渠道商。

后续处理

  • 您可以单击恶意文件列表中的事件名称,查看此恶意文件详情页面。
    图2 恶意文件列表
  • 恶意文件详情页面包含处置建议、处置记录、威胁分析等。
    图3 恶意文件详情页面

    恶意文件详情界面中的事件名称以及恶意文件详情可能涉及公网地址,仅用于事件信息展示以帮助用户了解威胁事件,服务不会主动发起与这些公网地址的连接。