威胁日志
威胁日志页面可查看运行移动应用或嵌入式威胁引擎的受保护设备检测到的所有威胁。
管理员可调整显示数据以便进行取证分析。
-
点击列表中某条威胁记录可查看完整取证信息
-
点击日期下拉列表可查询不同时间范围的威胁
可查看的取证信息包括:
-
设备上威胁事件的发生时间。
-
相关IP及MAC地址。
-
路由表。
-
运行中的进程。
-
邻近网络。
-
网络连接。
-
与该事件相关的ARP表。
威胁日志列与筛选器
威胁日志包含与所报告威胁类型相关的详细取证信息。管理员可通过修改威胁日志页面顶部列标题处的筛选器,仅显示关注的目标威胁。
威胁详情数据
威胁详情数据是关于威胁事件的补充信息,反映威胁事件发生时设备的状态。该数据随威胁事件及类型变化,并受设备隐私政策及权限管控。本列表按字母顺序排列。
威胁处置流程
管理员可通过勾选复选框并从操作下拉列表中选择,为特定威胁或事件执行处置流程。
威胁处置选项
在 移动安全 控制台中,存在多种方法可表明威胁已处理完毕,并被标识为 已修复 或 已批准 状态。本节说明处理潜在威胁的不同方式。
选择日期/日期范围
威胁日志 页面默认显示当前日期,若威胁检测日期较早,需更改日志顶部显示的日期。 要更改日期,请点击日期旁的下拉菜单箭头并选择以下选项之一:
-
今日
-
上周
-
本月
-
最近30天
如需查询更早记录,可点击返回前几个月,选择起止日期后点击应用以生效新日期范围。
批准威胁
将事件标记为已批准的选项可将该特定事件设为管理员白名单。要批准事件,请点击 操作 按钮中的下拉箭头,选择 批准威胁为 ,然后选择原因:
-
开发者测试。
-
已知应用。
-
用户已获指导。
-
其他 - 若因其他解决方案批准该事件,请在文本框中输入原因。
选择“批准威胁”后,该事件会从本屏幕移除,但仍保留在 威胁日志 页面,标记为 已批准 .
标记为已修复
将事件标记为“已修复”的选项表明该特定事件被视为安全问题(例如设备上发现的恶意应用),并已由事件响应团队或管理员解决。
批准事件步骤:
-
点击 操作 按钮中的下拉箭头。
-
点击“标记为已修复”,并选择原因:
-
开发者测试。
-
已知应用。
-
用户已获指导。
-
其他。
-
-
若选择 其他 (因其他解决方案批准该事件),请在“其他”字段中输入原因。
-
随后该事件会从本屏幕移除,但仍保留在 威胁日志 页面标记为 已修复 .
应用开发者白名单选项
用户可将仍连接至 移动安全 控制台的iOS或Android设备上的侧载应用事件加入白名单。将开发者证书加入白名单可确保所有对应应用均被批准允许。与企业侧载应用不同,白名单应用不会被标记为威胁。
从威胁日志中将开发者证书加入白名单:
-
在 威胁名称 字段中,查找需加入白名单的威胁名称(如 侧载应用 ),并勾选该行左侧的复选框。
-
点击页面顶部 操作 下拉菜单中的向下箭头。
-
选择 将应用开发者加入白名单 选项。
-
操作成功后,将弹出提示框显示所选应用开发者已加入白名单。
-
点击 关闭 以关闭提示框。
威胁日志中的MDM操作选项
选择运行特定MDM操作的选项将显示可用操作。此列表为动态生成,与环境中的MDM操作相关。点击操作即可在关联设备上执行。该事件将保留在列表中,直至被标记为 已修复 或 已批准 .
注意
要对多个威胁应用MDM操作,请从“组”列筛选器中选择单个MDM组。
威胁日志页面提供的MDM操作类型包括:
-
锁定设备 - 此操作将锁定设备,直至威胁解除。
-
选择性擦除 - 此操作将选择性擦除设备上的企业信息。
-
通知EMM - 此操作会将风险态势发送至EMM/MDM。
导出威胁日志
通过点击导出CSV按钮,可从威胁日志界面导出事件。仅包含筛选后的事件日志,并以CSV文件格式下载。CSV文件将通过电子邮件中的链接发送给请求的管理员。
使用数据保留设置清除日志
Bitdefender 提供90天的威胁和审计日志信息,这些信息会随时间增长。若您有不同数据保留需求,可将数据导出至外部系统以延长保留期限。