HSS文件隔离查杀

剧本说明

安全云脑提供的HSS文件隔离查杀剧本，自动隔离查杀恶意软件。

“HSS文件隔离查杀”剧本已匹配“HSS文件隔离查杀”流程，

“HSS文件隔离查杀”流程是通过HSS恶意文件隔离查杀进行恶意软件和勒索软件告警处置。

当资产HSS版本为专业版或者高于专业版但未开启自动隔离查杀，进行人工判断，人工审核需要进行隔离查杀，则通过HSS文件隔离查杀进行告警处置，隔离成功，关闭告警。隔离失败，添加需要手动处理的评论。

图1 HSS文件隔离查杀流程

实现效果

• 隔离查杀成功告警自动关闭。
  图2 自动关闭告警
  
• 如果查杀成功，在评论可看到已完成文件隔离查杀。
  图3 查杀成功评论
  
• 如果隔离查杀失败，在评论可以看到需要手动进行告警处置。
  图4 查杀失败评论
  

前提条件

已在安全云脑工作空间的“设置 > 数据集成”页面中接入HSS告警数据，并开启自动转告警开关，详细操作请参见数据集成。

图5 接入HSS告警

配置并启用剧本

在安全云脑中，默认“HSS文件隔离查杀”流程的初始版本（V1）也已启用，无需手动启用。默认“HSS文件隔离查杀”剧本的初始版本（V1）也已激活，只需要启用就可以进行使用。

1. 登录管理控制台。
2. 在页面左上角单击，选择“安全与合规 > 安全云脑 SecMaster”，进入安全云脑管理页面。
3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图6 进入目标工作空间管理页面
   

4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。
   图7 进入剧本管理页面
   

5. 在剧本管理页面中，单击“HSS文件隔离查杀”剧本所在行的“操作”列的“启用”。
6. 在弹出的确认框中，选择初始剧本版本v1后，单击“确定”。