更新时间:2025-07-25 GMT+08:00
处置高级威胁
前提条件
为更好使用该功能,建议预先进行以下配置:
- 已使用租户账号登录华为乾坤控制台。
背景信息
高级威胁事件是指因终端上的恶意进程产生的威胁事件,包括异常登录、暴力破解、异常事件等非法入侵行为。
针对高级威胁事件,云端有如下几种处置方式:
- 云端智能分析后推荐处置规则,并成功终止进程和隔离相关文件,其状态显示为“处置成功”。
- 云端智能分析后无法推荐处置规则,由安全运营专家进一步分析后手动下发处置规则,成功终止进程和隔离相关文件,其状态显示为“处置成功”。
- 云端智能分析和安全运营专家根据现有信息无法处置,需要租户进行人工处置时,其状态显示为“未处置”。
租户需要对“未处置”的高级威胁事件进行处置,处置方法包括“快速处置”和“标记状态”。
- 快速处置:使用系统推荐的快速处置方式,租户需核实确认并进行处置下发。处置过程中高级威胁事件显示为“处置中”,处置成功则返回状态“处置成功”,处置失败则返回状态“处置失败”。
- 标记状态:租户可手动对高级威胁事件进行标记,标记后处置状态分别显示为“忽略”、“已修复”。
- 网络隔离:对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”,在隔离终端列表可以执行“恢复”操作。(只在服务首页入口的威胁事件列表中可操作)
操作步骤
- 参考操作入口介绍选择一种操作入口,进入“高级威胁”的威胁事件列表。
本章节以“安全运营中心(威胁事件)”入口为例。
- 筛选待处置事件,即“事件处置状态”为“未处置”、“处置失败”和“事件超时关闭”的事件。
图1 高级威胁待处置事件
- 单击待处理事件的“事件名称”列,查看威胁事件详情,根据“处置建议”并结合实际情况,处置高级威胁事件。
不同类型的高级威胁事件,支持的处置能力不同。完成处置后,可以在“处置记录”页签查看处置记录。
图2 高级威胁事件详情
表1 处置操作 事件类型
处置操作说明
异常登录/暴力破解
- 快速处置:将可疑的登录IP加入黑名单,来自黑名单IP的登录请求会被阻断。
- 忽略:除打上“忽略”标记外不进行任何处理。
- 已修复:除打上“已修复”标记外不进行任何处理。
说明:- 当检测到异常登录或暴力破解行为时,云端会联动边界防护与响应服务进行处置。
- 企业内网存在DNS服务器和NAT设备的场景下,不支持封禁攻击源,租户点击“快速处置”后提示失败。
- 处置威胁事件后,您可以单击对应事件名称,在“处置记录”区域,查看对应的处置动作。
异常进程/其他类型
- 快速处置:默认情况下,运行中的进程和相关文件会按照“推荐处置动作”处置;如果用户期望对进程或文件进行自定义处置,可手动更改处置动作。
- 忽略:除打上忽略标记外不进行任何处理。
- 终止:立刻终止运行中的进程。
- 隔离:将相关恶意文件移至该终端的隔离区,30天后自动清理。在此之前,您可以在终端详情界面的隔离区中恢复隔离文件。
- 忽略:除打上“忽略”标记外不进行任何处理。
- 已修复:除打上“已修复”标记外不进行任何处理。
- 网络隔离:对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”,在隔离终端列表可以执行“恢复”操作。(只在服务首页入口的威胁事件列表中可操作)
说明:处置威胁事件后,您可以单击对应事件名称,在“处置记录”区域,查看对应的处置动作。
- (可选)如果用户需要查看高级威胁详细信息,请单击“威胁分析”和“路径分析”查看。
- 威胁分析:展示攻击源和目的终端,以及对应事件的安全分析、取证信息和威胁信息。
- 路径分析:展示对应事件的攻击链和进程树。
图3 路径分析
单击“路径分析”页签后,云端将通过智能分析关联到新的风险项并自动添加到快速处置项中,可单击“快速处置”对攻击链上所有恶意进程或文件进行清理。若攻击链上涉及到暴力破解威胁事件,将一并进行处置,同时封禁外部攻击源。
“事件类型”为“异常登录”、“暴力破解”、“异常进程”的高级威胁,不支持此项功能。
- 忽略:除打上忽略标记外不进行任何处理。
- 终止:立刻终止运行中的进程。
- 隔离:将相关恶意文件移至该终端的隔离区,30天后自动清理。在此之前,您可以在终端详情界面的隔离区中恢复隔离文件。
- 删除:删除由威胁事件衍生的恶意定时任务。
