文档首页/ 企业主机安全 HSS/ 用户指南/ 主机防御/ 勒索病毒防护/ 查看并处理勒索病毒防护事件
更新时间:2024-11-15 GMT+08:00

查看并处理勒索病毒防护事件

开启勒索病毒防护功能后,当服务器发生勒索攻击防护事件时,防护事件会被记录并展示在勒索病毒防护事件列表中供您查看分析,您可以结合自身业务情况处理防护事件。

前提条件

已开启企业主机安全版本为旗舰版、网页防篡改版或容器安全版。

约束限制

开启勒索病毒防护后需要及时处置勒索病毒告警、修复系统及中间件漏洞。

查看并处理勒索病毒防护事件

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 选择主机防御 > 勒索病毒防护 ,进入“勒索病毒防护”界面。

    如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

  4. 选择“防护事件”页签,查看防护事件。

    单击告警名称,可查看告警的详细信息。

    图1 查看防护事件

  5. 确认告警的危害程度后,在目标事件的操作列单击“处理”,处理该事件。

    您也可以勾选所有目标事件,并单击列表上方的“批量处理”,批量处理事件。

  6. “处理告警事件”对话框中,选择处理方式。处理方式说明请参见表 告警事件处理方式说明

    图2 选择处理方式
    表1 告警事件处理方式说明

    参数名称

    参数说明

    处理方式

    • 我已手动处理

      您已自行手动处理事件,您可以添加“备注”信息,方便您记录手动处理该告警事件的详细信息。

    • 忽略

      仅忽略本次告警。如果再次出现相同的告警信息,HSS会再次告警。

    • 加入告警白名单

      如果确认告警事件是误报,且不希望HSS再上报该告警,您可以将本次告警事件加入告警白名单。

      HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后,如果再次出现该告警事件,则HSS不会告警。

      选中“加入告警白名单”后,可单击“新增规则”,自定义设置白名单规则;可定义的规则类型因告警类型而不同,包括文件路径、进程路径、进程命令行、远程IP和用户名。默认情况下HSS会自动根据告警摘要自动填充规则,您可以根据实际情况进行修改。当HSS检测到的告警事件相等或包含您填写的规则信息时,HSS不会告警。

    • 隔离查杀

      选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。

      您可以在“文件隔离箱”,查看已隔离的文件,详细信息请参见管理文件隔离箱

      说明:

      程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,如果隔离查杀有误报,您可以执行取消隔离/忽略操作。

    批量处理

    勾选,即同时批量处理不同时间触发的相同告警。如果您勾选后,没有相同告警信息,表示此前未发生过相同告警。

    备注描述

    您可以根据实际情况备注处理信息,方便后续回溯查看。

  1. 单击“确认”,完成处理。