处置勒索事件

前提条件

为更好地使用该功能，请提前完成以下操作：

已使用租户账号登录控制台区域一（https://qiankun-saas.huawei.com/）/区域二（https://2nd.qiankun-saas.huawei.com/）。
配置文件防篡改主动防御策略，具体操作请参见配置防篡改策略。

背景信息

勒索事件是指因勒索软件产生的威胁事件，包括文件篡改、漏洞利用等。

针对勒索事件，云端有如下几种处置方式：

云端智能分析后推荐处置规则，并成功终止进程和隔离相关文件，其状态显示为“处置成功”。
云端智能分析后无法推荐处置规则，由安全运营专家进一步分析后手动下发处置规则，成功终止进程和隔离相关文件，其状态显示为“处置成功”。
云端智能分析和安全运营专家根据现有信息无法处置，需要租户进行人工处置时，其状态显示为“未处置”。

操作步骤

威胁事件支持“按事件类型”和“按终端”查看和处置。对于事件处置，两者入口不同，此处以“按事件类型”入口为例，介绍处置方法。

参考操作入口介绍选择一种操作入口，进入“病毒文件”的威胁事件列表。

本章节以“智能终端安全服务”入口为例。
在“勒索事件”区域单击“查看更多”，进入对应威胁事件的处理界面。

图1 勒索事件处置界面

按需筛选待处置事件，参考“处置建议”并结合实际情况，处置勒索事件。

完成处置后，可以在事件详情页面的“处置记录”页签查看处置明细。

表1 勒索事件的处置方法说明
处置方法	使用场景
快速处置	系统推荐的快速处置方式，您需要核实确认并进行处置下发。隔离：将相关恶意文件移至该终端的隔离区，30天后自动清理。在此之前，您可以在终端详情界面的隔离区中恢复隔离文件。恢复：对于特定类型病毒（如：宏病毒）感染过的源文件，可恢复至感染前状态。执行恢复操作后，相关恶意文件先移至该终端的隔离区。如果源文件恢复成功，事件“处置状态”为“已响应”；如果源文件恢复失败，事件“处置状态”为“处置失败”，并将隔离区相关恶意文件的文件名称加上“-restore”后，恢复至原路径。
加入白名单	将误报的勒索事件文件进行加入白名单操作。同时处置其他终端上相同SHA256值的文件：勾选此项后，支持同步处置其他HiSec Endpoint Agent上有相同SHA256值的文件，并统一标记为“已人工处置”。是否需要应用到自定义的资产组：勾选此项后，支持将此条白名单策略应用到自定义的资产组中。若白名单添加成功，可在黑白名单策略中查看。
标记状态	忽略：经过排查后发现事件无需处理或者是误报时，可以将此事件标记为“忽略”，在HiSec Endpoint智能终端安全系统中不进行其他任何处理。标记为“忽略”后，后续无需再关注此事件。已人工处置：经过排查、处理事件后，可以将此事件标记为“已人工处置”，在HiSec Endpoint智能终端安全系统中不进行其他任何处理。未处置：经过确认事件后，可以将误打“已人工处置”标签的威胁事件标记为“未处置”，在HiSec Endpoint智能终端安全系统中不进行其他任何处理。
网络隔离	对存在风险的终端进行网络隔离。在HiSec Endpoint Agent的“安全防护 > 前往安全防护中心 > 隔离封禁区 > 隔离区”，在隔离终端列表可以执行“恢复”操作。

（可选）单击事件名称，可进入事件详情页面。

图2 勒索事件详情

表2 事件详情页面说明
模块	说明
事件详情	处置方法请参见表1。
处置建议&处置记录	提供处置建议，并可通过单击“处置记录”查看处置明细。
威胁分析&路径分析	按需查看勒索事件溯源信息，详见5。说明：单机和二级系统组网场景不支持此功能。

（可选）如果用户需要查看勒索事件溯源信息，在勒索事件详情界面中，单击“威胁分析”和“路径分析”。
- 威胁分析：展示攻击源和目的终端，以及对应事件的安全分析、取证信息和感染终端信息。
  - 安全分析：展示该事件的检测原理及风险危害。
  - 取证信息：检出该勒索事件时的终端信息、进程信息、文件操作信息和行为信息。
  - 威胁信息：检出该勒索事件时的终端名称、终端IP、用户域和用户名。
- 路径分析：展示对应事件的攻击链和进程树。
  图3 路径分析
  
  单击“路径分析”页签后，智能终端安全服务将通过智能分析关联到新的风险项并自动添加到快速处置项中，可单击“快速处置”对攻击链上所有恶意进程或文件进行清理。若攻击链上涉及到暴力破解威胁事件，将一并进行处置，同时封禁外部攻击源。
  - 忽略：除打上忽略标记外不进行任何处理。
  - 终止：立刻终止运行中的进程。
  - 隔离：将相关恶意文件移至该终端的隔离区，30天后自动清理。在此之前，您可以在终端详情界面的隔离区中恢复隔离文件。
  - 删除：删除由威胁事件衍生的恶意定时任务。