确定触发安全终端中自动操作的条件

简介

本文档介绍触发自动化操作需要满足的条件。

背景信息

自动操作在受到危害时触发（意味着不受到危害的计算机成为受到危害的计算机）。如果已受损的计算机触发新检测，则此检测会添加到危害中，但由于这不是新危害，因此不会触发自动操作。

例外情况是严重性级别。自动操作根据严重性标准触发，但是，危害本身并不具有严重性（只有单个检测具有严重性）。如果Automated Action配置为严重性级别为高，并且检测触发为中等，则不会触发该操作。如果后续事件添加到高度危害中，则操作触发，因为此新检测位于已经存在的危害中。

什么是受侵害的机器？

受侵害的计算机是与其关联的活动危害的终端。根据设计，被入侵的机器一次只能有一个危害处于活动状态。

适用性 

Windows、Mac

可用的自动化操作

1. 在受到侵害时拍摄调查分析快照：在受到侵害时拍摄计算机的调查分析快照。危害事件基本上是由连接器发送的事件，用于通知可能发生的恶意事件。
   
   

   触发此自动操作的条件：选定严重性或更高严重性的事件会触发自动操作。

   

   

   以下是受感染计算机的示例：

   

   这是自动操作的日志（来自“审核日志”选项卡）

   

2. 危害时隔离计算机：发生危害时隔离计算机。

   触发此自动操作的条件：选定严重性或更高严重性的事件会触发自动操作。速率限制可防止误报检测。“速率限制”功能可在24小时滚动窗口中查看隔离总数。如果隔离数量大于限制，则不会触发进一步的隔离。在24小时滚动窗口中的危害事件数量低于限制时，或者停止在自动隔离的计算机上的隔离时，计算机将再次被隔离。

   

   

   以下是受感染计算机的示例：

   

   这是自动操作的日志（从“审核日志”选项卡）：

   

   
   
   

3. 提交至检测时的安全恶意软件分析(Submit to Secure Malware Analytics upon Detection)：当检测发生时，将文件提交至安全恶意软件分析以进行文件分析。
   
   

   触发此自动操作的条件：选定严重性或更高严重性的事件会触发自动操作。

   

   

   受损计算机示例：

   

   在本例中，文件之前已提交到安全恶意软件分析，因此文件分析已经完成。示例如下：

   

   

   注意：此自动操作与危害无关，并且按检测运行。

4. 危害时移动计算机到组：触发操作时，将计算机从其当前组移动到另一个组。这允许您使用具有更主动扫描和引擎设置的策略将受危害的计算机移动到组，以补救危害。

触发此自动操作的条件：选定严重性或更高严重性的事件会触发自动操作。

这是原始组中的计算机：

以下是危害事件：

这是自动操作的日志（从“审核日志”选项卡）：

已将计算机移动到“自动操作”设置中的指定组：

操作日志

以下是“自动操作”(Automated Actions)选项卡中的自动操作日志的完整列表：

相关信息

安全终端用户指南