更新时间:2024-04-08 GMT+08:00
处置勒索事件
背景信息
勒索事件是指因勒索软件产生的威胁事件,包括文件篡改、漏洞利用等。
针对勒索事件,云端有如下几种处置方式:
- 云端智能分析后推荐处置规则,并成功终止进程和隔离相关文件,其状态显示为“处置成功”。
- 云端智能分析后无法推荐处置规则,由安全运营专家进一步分析后手动下发处置规则,成功终止进程和隔离相关文件,其状态显示为“处置成功”。
- 云端智能分析和安全运营专家根据现有信息无法处置,需要租户进行人工处置时,其状态显示为“未处置”。
租户需要对“未处置”的勒索事件进行处置,处置方法包括“快速处置”和“标记状态”。
- 快速处置:使用系统推荐的快速处置方式,租户需核实确认并进行处置下发。处置过程中勒索事件显示为“处置中”,处置成功则返回状态“处置成功”,处置失败则返回状态“处置失败”。
- 标记状态:租户可手动对勒索事件进行标记,标记后处置状态分别显示为“忽略”、“已人工处置”。
操作步骤
威胁事件支持“按事件类型”和“按终端”查看和处置。对于事件处置,两者入口不同,此处以“按事件类型”入口为例,介绍处置方法。
- 登录华为乾坤控制台,选择“
> 我的服务 > 终端防护与响应”。 - 在右上角菜单栏选择“威胁事件”。
- 在“勒索软件”区域单击“查看更多”,进入对应威胁事件的处理界面。
图1 勒索事件处置界面
- 参考处置建议,并结合实际情况,快速处置勒索事件。
- 快速处置:运行中的进程和相关文件会按照“推荐处置动作”处置。
- 忽略:除打上忽略标记外不进行任何处理。
- 终止:立刻终止运行中的进程。
- 隔离:将相关恶意文件移至该终端的隔离区,30天后自动清理。在此之前,您可以在终端详情界面的隔离区中恢复隔离文件。
- 删除:删除由威胁事件衍生的恶意定时任务。
- 标记状态
- 忽略:除打上“忽略”标记外不进行任何处理。
- 已人工处置:除打上“已人工处置”标记外不进行任何处理。
- 未处置:除打上“未处置”标记外不进行任何处理。
单击具体事件名称,可以查看事件详情、处置建议以及处置记录。
当前,针对“检测到勒索病毒 WannaCry”这一特定勒索事件,安全运营专家提供了更为详细的处置手册。如果您不知如何处置,或者快速处置后未能有效解决,可以单击事件名称,在“处置建议”区域单击“处置手册”进行下载,按照指导步骤进一步深度清理。图2 下载处置手册
- 快速处置:运行中的进程和相关文件会按照“推荐处置动作”处置。
- (可选)如果用户需要查看勒索事件详细信息,请单击对应的事件名称进入事件详情页面。
- 威胁分析:展示攻击源和目的终端,以及对应事件的安全分析、取证信息和威胁信息。
- 路径分析:展示对应事件的攻击链和进程树。
图3 路径分析
单击“路径分析”页签后,云端将通过智能分析关联到新的风险项并自动添加到快速处置项中,可单击“快速处置”对攻击链上所有恶意进程或文件进行清理。若攻击链上涉及到暴力破解威胁事件,将一并进行处置,同时封禁外部攻击源。
- 忽略:除打上忽略标记外不进行任何处理。
- 终止:立刻终止运行中的进程。
- 隔离:将相关恶意文件移至该终端的隔离区,30天后自动清理。在此之前,您可以在终端详情界面的隔离区中恢复隔离文件。
- 删除:删除由威胁事件衍生的恶意定时任务。
父主题: 处置威胁事件
