恶意文件

前提条件

• 已使用租户帐号登录华为乾坤控制台。

背景信息

华为乾坤根据设备提供的日志判断威胁事件的检测类型，如果检测类型为AV/CDE，则此威胁事件被识别为恶意文件。

如果设备检测到恶意文件时已拦截，则恶意文件事件的状态为“已拦截”，如果设备检测到恶意文件时未拦截，则恶意文件事件的状态为“未处置”。

针对“已拦截”、“未处置”的恶意文件，华为乾坤可以向租户发送短信和邮件告警通知租户或者下发IP黑名单。

租户需要对“未处置”的恶意文件进行处置，处置后将其状态标记为“已修复”或“已忽略”。

操作步骤

1. 参考威胁事件处置入口选择一种操作入口，进入“外部攻击源”的威胁事件列表。

   本章节以“安全运营中心（威胁事件）”入口为例。

2. 筛选待处置事件，即“事件处置状态”为“未处置”、“处置失败”和“事件超时关闭”的事件。
   

   当威胁事件关联的设备所在的站点发生变化，或关联的租户被删除时，如果在变化前威胁事件的“事件处置状态”为“未处置”、“处置中”或“处置失败”，则该状态将更新为“事件超时关闭”，且该事件将无法继续处置。

   图1 恶意文件待处置事件

   

3. 单击待处理事件的“事件名称”列，查看威胁事件详情，根据“处置建议”以及本步骤内容，完成处置。

   完成处置后，可以在“处置记录”页签查看处置记录。

   

   • 恶意文件详情界面中的事件名称以及恶意文件详情可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。
   • 若租户同时购买智能终端安全服务，并检测到终端资产存在恶意文件，可以在详情页面的“处置建议”区域进行处置。
   • 华为乾坤对恶意文件取证后，将资产信息和文件信息发送到对应终端Agent，Agent根据文件HASH快速查找文件路径，租户可选择将恶意文件隔离或删除。
   • 如果您不知如何处置，或者处置后未能有效解决，请求助对应安全云服务商或渠道商。
   图2 恶意文件威胁事件详情

   

   • 标记状态
     • 已修复

       根据具体的事件采取人工处置并完成修复，比如根据事件的源、目的地址、文件名等查找并清除恶意文件。

       确认风险主机中已清除恶意文件后，将事件标记为“已修复”。

     • 忽略

       经过排查后发现事件无需处理或者是误报时，可以将此事件标记为“忽略”。

       标记为“忽略”后，后续无需再关注此事件。

     • 未处置

       对于已处置过或已标记过状态的威胁事件，如果想再次处置，可以标记成“未处置”。

       标记为“未处置”后，可以对此事件再处置。

后续处理

处置恶意事件后，您可以对恶意事件进行导出：在单个恶意文件详情内，单击右上角的“导出详情”，可以导出详细信息。