更新时间:2025-08-26 GMT+08:00
查看并处理勒索病毒防护事件
操作场景
开启勒索病毒防护功能后,当服务器发生勒索攻击防护事件时,防护事件会被记录并展示在勒索病毒防护事件列表中供您查看分析,您可以结合自身业务情况处理防护事件。
约束限制
开启勒索病毒防护后需要及时处置勒索病毒告警、修复系统及中间件漏洞。
查看并处理勒索病毒防护事件
- 登录企业主机安全控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - 选择,进入“勒索病毒防护”界面。
- (可选)如果您已开通企业项目,可在页面上方“企业项目”下拉框中选择企业项目,查看目标企业项目下的相关信息和数据。
- 选择“防护事件”页签,查看防护事件。
单击告警名称,可查看告警的详细信息。
图1 查看防护事件
- 确认告警的危害程度后,在目标事件的操作列单击“处理”,处理该事件。
您也可以勾选所有目标事件,并单击列表上方的“批量处理”,批量处理事件。
- 在“处理告警事件”对话框中,选择处理方式。处理方式说明请参见表 告警事件处理方式说明。
图2 选择处理方式
表1 告警事件处理方式说明 参数名称
参数说明
处理方式
- 我已手动处理
您已自行手动处理事件,您可以添加“备注”信息,方便您记录手动处理该告警事件的详细信息。
- 忽略
仅忽略本次告警。如果再次出现相同的告警信息,HSS会再次告警。
- 加入告警白名单
如果确认告警事件是误报,且不希望HSS再上报该告警,您可以将本次告警事件加入告警白名单。
HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后,如果再次出现该告警事件,则HSS不会告警。
选中“加入告警白名单”后,可单击“新增规则”,自定义设置白名单规则;可定义的规则类型因告警类型而不同,包括文件路径、进程路径、进程命令行、远程IP和用户名。默认情况下HSS会自动根据告警摘要自动填充规则,您可以根据实际情况进行修改。当HSS检测到的告警事件相等或包含您填写的规则信息时,HSS不会告警。
- 隔离查杀
选择隔离查杀后,该程序的可执行文件将变为“只读”状态,同时该程序的进程将被立即终止,为避免对业务造成影响,请谨慎操作。HSS会将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。
您可以在“文件隔离箱”,查看已隔离的文件,详细信息请参见管理文件隔离箱。
批量处理
勾选,即同时批量处理不同时间触发的相同告警。如果您勾选后,没有相同告警信息,表示此前未发生过相同告警。
备注描述
您可以根据实际情况备注处理信息,方便后续回溯查看。
- 我已手动处理
- 单击“确定”,完成处理。
