文档首页/ 华为乾坤/ 安全云服务/ 终端防护与响应/ 用户指南/ 处置威胁事件/ 处置高级威胁
更新时间:2026-02-10 GMT+08:00
查看PDF
分享

处置高级威胁

前提条件

为更好使用该功能,建议预先进行以下配置:

背景信息

高级威胁事件是指因终端上的恶意进程产生的威胁事件,包括异常登录、暴力破解、异常事件等非法入侵行为。

针对高级威胁事件,云端有如下几种处置方式:

  • 云端智能分析后推荐处置规则,并成功终止进程和隔离相关文件,其状态显示为“处置成功”
  • 云端智能分析后无法推荐处置规则,由安全运营专家进一步分析后手动下发处置规则,成功终止进程和隔离相关文件,其状态显示为“处置成功”
  • 云端智能分析和安全运营专家根据现有信息无法处置,需要租户进行人工处置时,其状态显示为“未处置”

操作步骤

威胁事件支持“按事件类型”“按终端”查看和处置。对于事件处置,两者入口不同,此处以“按事件类型”入口为例,介绍处置方法。

  1. 参考操作入口介绍选择一种操作入口,进入“病毒文件”的威胁事件列表。

    本章节以“智能终端安全服务”入口为例。

  2. 在“高级威胁”区域单击“查看更多”,进入对应威胁事件的处理界面。

    图1 高级威胁处置界面

  3. 按需筛选待处置事件,参考“处置建议”并结合实际情况,处置高级威胁事件。

    不同类型的高级威胁事件,支持的处置能力不同。

    表1 高级威胁事件处置操作

    事件类型

    处置操作说明

    异常登录/暴力破解
    • 快速处置:将可疑的登录IP加入黑名单,来自黑名单IP的登录请求会被阻断。
    • 将误报的高级威胁事件文件进行加入白名单操作。
      • 同时处置其他终端上相同SHA256值的文件:勾选此项后,支持同步处置其他HiSec Endpoint Agent上有相同SHA256值的文件,并统一标记为“已人工处置”。
      • 是否需要应用到自定义的资产组:勾选此项后,支持将此条白名单策略应用到自定义的资产组中。

      若白名单添加成功,可在黑白名单策略中查看。

    • 标记状态
      • 忽略:除打上“忽略”标记外不进行任何处理。
      • 已人工处置:除打上“已人工处置”标记外不进行任何处理。
      • 未处置:除打上“未处置”标记外不进行任何处理。
    • 网络隔离:对存在风险的终端进行网络隔离。在HiSec Endpoint Agent首页概览页面单击“隔离终端”,在隔离终端列表可以执行“恢复”操作。
    说明:
    • 企业内网存在DNS服务器和NAT设备的场景下,不支持封禁攻击源,租户单击“快速处置”后提示失败。
    • 处置威胁事件后,您可以单击对应事件名称,在“处置记录”区域,查看对应的处置动作。

    异常进程/其他类型
    • 快速处置:默认情况下,运行中的进程和相关文件会按照“推荐处置动作”处置;如果用户期望对进程或文件进行自定义处置,可手动更改处置动作。
      • 忽略:除打上忽略标记外不进行任何处理。
      • 终止:立刻终止运行中的进程。
      • 隔离:将相关恶意文件移至该终端的隔离区,30天后自动清理。在此之前,您可以在终端详情界面的隔离区中恢复隔离文件。
    • 将误报的高级威胁事件文件进行加入白名单操作。
      • 同时处置其他终端上相同SHA256值的文件:勾选此项后,支持同步处置其他HiSec Endpoint Agent上有相同SHA256值的文件,并统一标记为“已人工处置”。
      • 是否需要应用到自定义的资产组:勾选此项后,支持将此条白名单策略应用到自定义的资产组中。

      若白名单添加成功,可在黑白名单策略中查看。

    • 标记状态
      • 忽略:除打上“忽略”标记外不进行任何处理。
      • 已人工处置:除打上“已人工处置”标记外不进行任何处理。
      • 未处置:除打上“未处置”标记外不进行任何处理。
    说明:

    处置威胁事件后,您可以单击对应事件名称,在“处置记录”区域,查看对应的处置动作。

  4. (可选)如果用户需要查看高级威胁详细信息,请单击对应的事件名称进入事件详情页面。

    图2 高级威胁事件详情
    表2 事件详情页面说明

    模块

    说明

    事件详情

    处置方法请参见表1

    处置建议&处置记录

    提供处置建议,并可通过单击“处置记录”查看处置明细。

    威胁分析&路径分析

    按需查看高级威胁事件溯源信息,详见5

  5. (可选)如果用户需要查看溯源信息,在高级威胁事件详情界面中,单击“威胁分析”和“路径分析”。

    • 威胁分析:展示攻击源和目的终端,以及对应事件的安全分析、取证信息和威胁信息。
      • 安全分析:展示该事件的检测原理及风险危害。
      • 取证信息:检出该挖矿木马事件时的终端信息、进程信息和行为信息。
      • 威胁信息:若该事件命中威胁信息库,展示具体数据;否则为空。
    • 路径分析:展示对应事件的攻击链和进程树。
      图3 路径分析

      单击“路径分析”页签后,智能终端安全服务将通过智能分析关联到新的风险项并自动添加到快速处置项中,可单击“快速处置”对攻击链上所有恶意进程或文件进行清理。若攻击链上涉及到暴力破解威胁事件,将一并进行处置,同时封禁外部攻击源。

      “事件类型”“异常登录”“暴力破解”“异常进程”的高级威胁,不支持此项功能。

      • 忽略:除打上忽略标记外不进行任何处理。
      • 终止:立刻终止运行中的进程。
      • 隔离:将相关恶意文件移至该终端的隔离区,30天后自动清理。在此之前,您可以在终端详情界面的隔离区中恢复隔离文件。
      • 删除:删除由威胁事件衍生的恶意定时任务。

相关操作

高级威胁事件支持导出,单次最多可导出10万条数据。
  • 导出全量高级威胁事件列表:在高级威胁事件列表中,按需筛选后,单击“导出”,选择“导出全部”。
  • 导出部分高级威胁事件列表:在高级威胁事件列表中,按需筛选后,勾选部分数据,单击“导出”,选择“导出选中”。
父主题: 处置威胁事件

相关文档