確定觸發安全端點中自動操作的條件
簡介
本文檔介紹觸發自動操作所需滿足的條件。
背景資訊
自動操作在受到危害時觸發(意味著未受到危害的機器成為受到危害的機器)。如果已受損的電腦觸發新檢測,則此檢測會新增到危害中,但由於這不是新危害,因此不會觸發自動操作。
唯一的例外是嚴重性級別。自動操作根據嚴重性標準觸發,然而,危害本身沒有嚴重性(只有單個檢測才有嚴重性)。如果自動操作配置為高嚴重級別,而檢測觸發為中級別,則不會觸發該操作。如果將後續事件新增到高度危害中,則操作將觸發,因為此新檢測位於已經存在的危害中。
什麼是受損的機器?
受危害的電腦是與其關聯的活動危害的終結點。根據設計,受危害的電腦一次只能有一個危害處於活動狀態。
適用性
Windows、Mac
可用的自動操作
-
危害時製作取證快照:發生危害時製作電腦的取證快照。危害事件基本上是由聯結器傳送的事件,用於通知可能發生的惡意行為。
觸發此自動操作的條件:選定嚴重性或更高嚴重性的事件觸發自動操作。
以下是受到入侵的機器範例:
這是自動操作的日誌(通過「稽核日誌」頁籤)
-
危害時隔離電腦:發生危害時隔離電腦。
觸發此自動操作的條件:選定嚴重性或更高嚴重性的事件觸發自動操作。速率限制可防止誤報檢測。「速率限制」功能可在24小時滾動視窗中檢視隔離總數。如果隔離數大於該限制,則不會觸發進一步的隔離。在24小時滾動視窗中的危害事件數降至限制值或停止自動隔離的電腦上,電腦將再次被隔離。
以下是受到入侵的機器範例:
這是自動操作的日誌(從「稽核日誌」頁籤):
-
提交至檢測時的安全惡意軟體分析:在檢測發生時將檔案提交至Secure Malware Analytics進行檔案分析。
觸發此自動操作的條件:選定嚴重性或更高嚴重性的事件觸發自動操作。
受損電腦的示例:
在這種情況下,檔案之前已提交到Secure Malware分析,因此檔案分析已經完成。示例如下:
注意:此自動操作與危害無關,並且按檢測運行。
- 危害時移動電腦到組:觸發操作時將電腦從其當前組移動到其他組。這樣,您就可以將受危害的電腦移動到具有更積極的掃描和引擎設定的策略組,以補救危害。
觸發此自動操作的條件:選定嚴重性或更高嚴重性的事件觸發自動操作。
這是原始組中的電腦:
以下是危害事件:
這是自動操作的日誌(從「稽核日誌」頁籤):
已將電腦移動到「自動操作」設定中的指定組:
操作日誌
這是來自自動操作頁籤的自動操作日誌的完整清單:
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
01-Feb-2023 |
初始版本 |
意見