简介
本文档介绍安全终端中的自动操作功能与危害的概念有关。 了解危害的生命周期和管理对于理解自动化操作的功能至关重要。本文回答有关这些概念的术语和功能的问题。
常见问题
什么是受危害的机器?
受感染的计算机是与其关联的活动危害的终端。按照设计,受感染的机器一次只能激活一个危害。
什么是妥协?
危害是计算机上一个或多个检测的集合。大多数检测事件(检测到威胁、危害表现等)都可以生成或与危害关联。但是,有对事件可能不会触发新的危害。例如,当检测到威胁事件发生,但在其发生关联的威胁隔离事件后不久,这不会触发新的危害。从逻辑上讲,这是因为安全终端已处理了潜在危害(我们隔离了威胁)。
在受感染的计算机上发生新检测时会发生什么情况?
检测事件将添加到现有危害。未创建新危害。
我在哪里可以看到和管理危害?
危害在安全终端控制台的“收件箱”(Inbox)选项卡中进行管理(北美云为https://console.amp.cisco.com/compromises)。受损计算机列在“需要注意”部分下,可通过按“已解决标记”来清除其危害。此外,一个月后,威胁会自动消除。
如何触发自动操作*?
在危害(即未受危害的机器成为受危害的机器时)触发自动操作。如果已受损的计算机遇到新检测,则此检测会添加到危害中,但由于这不是新的危害,因此不会触发自动操作。
如何重新触发自动操作?
在尝试重新触发自动操作之前,必须“清除”危害。请记住,Threat Detected + Threat Quarantined事件不足以生成新的危害事件(因此不足以触发新的自动操作)。
*异常:“向ThreatGrid提交文件”自动操作与危害无关,并运行每次检测