预批准操作
该 预批准操作 页面位于 服务管理 模块下。此处可授权SOC团队在需要时无需明确审批即可执行特定操作。
页面显示以下信息:
-
操作 - SOC团队采取的操作
-
详情 - 操作的简要说明
-
备注 - 为SOC团队添加备注的字段
以下预批准操作可供选择:
-
终止进程 我们的专家将终止被判定为恶意的进程。
-
拦截文件 我们的专家将阻止恶意可执行文件在主机上运行。
-
远程Shell 我们的专家可能有权在终端上运行命令以调查或缓解恶意活动。
-
封锁端口 我们的专家将阻止主机通过一个或多个被判定存在风险的网络端口交换网络流量(例如:80或443端口)。
-
封锁IP 我们的专家将阻止主机与一个或多个被判定为恶意的IP地址交换网络流量(此操作不适用于服务器)。
-
隔离主机 我们的专家将使主机与网络断开连接,使其无法再与其他系统建立或接收连接。
-
删除文件 我们的专家将删除被判定为恶意的文件。
-
隔离文件 我们的专家会将可疑文件移至隔离文件夹以防止误用(文件不会被删除)。
-
删除邮件 我们的专家在判定邮件为恶意后,将从收件箱中删除该邮件。
-
禁用用户 我们的专家在发现账户存在恶意活动后,将禁止该用户登录。
-
标记用户为已泄露 我们的专家会在Active Directory中将用户标记为已泄露(此操作仅适用于拥有Microsoft E5级别许可证的客户)。
-
响应Shell 我们的专家可能有权在终端上运行命令以调查或缓解恶意活动。
-
强制用户凭据重置 在确认账户可能遭滥用后,我们的专家将设置该账户,使用户在下次登录时必须重置密码。
注意
远程Shell 默认启用且不可禁用。
对于 Bitdefender MDR 和 MDR Foundations 用户,其他所有操作默认启用,但可根据要求调整。
预批准操作列表已更新以支持 XDR ,并新增以下操作:
-
XDR 面向 Bitdefender MDR 生产力
-
删除邮件
-
禁用用户
-
-
XDR 面向 Bitdefender MDR 身份
-
强制用户凭据重置
-
标记用户为已泄露
注意
此操作仅适用于拥有Microsoft E5级别许可证的客户。
-
按产品分组的预批准操作(MDR Premium和企业版):
按产品分组的预批准操作(MSP合作伙伴):
按产品分组的预批准操作(MDR Foundations):
按业务影响分组的MDR高级版和企业版预批准操作:
按业务影响分组的MSP合作伙伴预批准操作:
按业务影响分组的MDR基础版预批准操作:
