恶意文件

背景信息

华为乾坤根据设备提供的日志判断威胁事件的检测类型，如果检测类型为AV/CDE，则此威胁事件被识别为恶意文件。

如果设备检测到恶意文件时已拦截，则恶意文件事件的状态为“已拦截”，如果设备检测到恶意文件时未拦截，则恶意文件事件的状态为“未处置”。

针对“已拦截”、“未处置”的恶意文件，华为乾坤可以向租户发送短信和邮件告警通知租户或者下发IP黑名单。

租户需要对“未处置”的恶意文件进行处置，处置后将其状态标记为“已人工处置”或“已忽略”。

操作步骤

1. 登录华为乾坤控制台，选择“ > 我的服务 > 边界防护与响应”。
2. 在右上角菜单栏选择“威胁事件”。
3. 查看恶意文件概览，并单击数据或“查看更多”进入相应处理页面。
   图1 恶意文件概览

   

4. 针对未处置的恶意文件标记状态。
   • 已人工处置

     租户根据具体的事件采取人工处置，比如根据事件的源、目的地址、文件名等查找并清除恶意文件。

     确认风险主机中已清除恶意文件后，在操作列将事件标记为“已人工处置”。

   • 忽略

     租户经过排查后发现为误报或无需处理时，在操作列将事件标记为“忽略”。后续就不用再关注此事件。

   

   如果您不知如何处置，或者处置后未能有效解决，请求助对应安全云服务商或渠道商。

后续处理

• 您可以单击恶意文件列表中的事件名称，查看此恶意文件详情页面。
  图2 恶意文件列表

  

• 恶意文件详情页面包含处置建议、处置记录、威胁分析等。
  

  • 若租户同时购买终端防护与响应服务，并检测到终端资产存在恶意文件，可以在详情页面的“处置建议”区域进行处置。
  • 华为乾坤对恶意文件取证后，将资产信息和文件信息发送到对应终端Agent，Agent根据文件HASH快速查找文件路径，租户可选择将恶意文件隔离或删除。
  图3 恶意文件详情页面

  

  

  恶意文件详情界面中的事件名称以及恶意文件详情可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。