服务器应用勒索病毒防护策略后,HSS将检测该服务器中进程文件对监控路径下文件的操作风险,包括“可信”和“不可信”,帮助您有效识别服务器中的风险操作,并对不在策略中的进程文件对监控路径下的文件操作进行告警提示。
事件管理列表展示关联服务器命中策略的“不可信”和不在勒索病毒防护策略中的进程对监控文件路径下文件的操作。
在事件管理列表中,处理防护告警事件时,若标记为“不可信”,您需要对不可信进程进行手动排查和处理,避免不可信进程对您的主机造成危害。
建议您对“不可信”和不在策略中的进程对监控路径下文件的操作进行重点排查和处理。
防勒索病毒功能在当前版本中为测试使用,可能存在无法完全满足对应能力的情况,你可购买升级后的主机安全(新版)进行使用。
查看防护告警事件列表
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择,进入企业主机安全页面。
图1 企业主机安全
- 进入“勒索病毒防护”页面,选择“事件管理”页签,查看勒索病毒防护事件列表,如图2所示。
图2 勒索病毒防护列表
表1 勒索病毒防护列表说明
参数 |
参数说明 |
文件路径 |
进程操作的文件的路径。 |
影响服务器名称/IP |
文件操作的服务器的名称/IP。 |
进程路径 |
操作监控路径下文件的进程。 |
进程签名的发行者 |
进程签名的发行者。 |
命中策略 |
告警命中的勒索病毒防御策略。 |
发生时间 |
触发告警的时间。 |
状态 |
该操作事件的处理状态,包含“已处理”和“未处理”。 |
处理防护告警事件
- 在“事件管理”列表的“操作”列中,单击“处理”,处理勒索病毒防护告警事件,如图3所示。
图3 处理勒索病毒防护告警事件
- 在弹出的处理事件窗口中,选择信任状态“可信”或者“不可信”,处理进程文件操作告警事件,如图4所示。
图4 处理勒索病毒防护事件
表2 处理告警事件
处理方式 |
处理方式说明 |
可信 |
标记进程文件为“可信”状态,标记为“可信”的进程文件操作,该进程文件再次对监控路径下的文件进行操作时,将不会触发告警。 |
不可信 |
标记进程文件为“不可信”状态,标记为“不可信”的进程文件操作,该进程文件再次对监控路径下的文件进行操作时,将会触发告警。 |
- 单击“确定”,完成勒索病毒防护告警事件标记处理。