查看并处理勒索病毒防护事件
开启勒索病毒防护功能后,当服务器发生勒索攻击防护事件时,防护事件会被记录并展示在勒索病毒防护事件列表中供您查看分析,您可以结合自身业务情况处理防护事件。
前提条件
已开启主机安全服务版本为旗舰版、网页防篡改版或容器安全版。
约束限制
开启勒索病毒防护后需要及时处置勒索病毒告警、修复系统及中间件漏洞。
查看并处理勒索病毒防护事件
- 登录管理控制台。
- 在页面左上角选择“区域”,单击
,选择“安全与合规 > 主机安全服务”,进入主机安全平台界面。 - 选择,进入“勒索病毒防护”界面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 选择“防护事件”页签,查看防护事件。
单击告警名称,可查看告警的详细信息。
图1 查看防护事件
- 确认告警的危害程度后,在目标事件的操作列单击“处理”,处理该事件。
您也可以勾选所有目标事件,并单击列表上方的“批量处理”,批量处理事件。
- 在“处理告警事件”对话框中,选择处理方式。处理方式说明请参见表 告警事件处理方式说明。
图2 选择处理方式
表1 告警事件处理方式说明 参数名称
参数说明
处理方式
- 我已手动处理
- 忽略
- 加入告警白名单
如果确认告警事件是误报,且不希望HSS再上报该告警,您可以将本次告警事件加入告警白名单。
HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后,如果再次出现该告警事件,则HSS不会告警。
选中“加入告警白名单”后,可单击“新增规则”,自定义设置白名单规则;可定义的规则类型因告警类型而不同,包括文件路径、进程路径、进程命令行、远程IP和用户名。默认情况下HSS会自动根据告警摘要自动填充规则,您可以根据实际情况进行修改。当HSS检测到的告警事件相等或包含您填写的规则信息时,HSS不会告警。
- 隔离查杀
选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。
您可以在“文件隔离箱”,查看已隔离的文件,详细信息请参见管理文件隔离箱。
说明:程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,如果隔离查杀有误报,您可以执行取消隔离/忽略操作。
批量处理
勾选,即同时批量处理不同时间触发的相同告警。如果您勾选后,没有相同告警信息,表示此前未发生过相同告警。
备注描述
您可以根据实际情况备注处理信息,方便后续回溯查看。
- 单击“确认”,完成处理。
