威胁日志
威胁日志页面可展示来自运行移动应用或嵌入式威胁引擎的受保护设备检测到的所有威胁。
管理员可调整显示数据以便进行取证分析。
-
点击列表中某条威胁记录可查看完整取证信息
-
点击日期下拉列表可查询不同时间范围的威胁
可查看的取证信息包括:
-
设备上威胁事件的发生时间。
-
相关IP及MAC地址。
-
路由表。
-
运行中的进程。
-
邻近网络。
-
网络连接。
-
与事件相关的ARP表。
威胁日志列与筛选器
威胁日志包含与被报告威胁类型相关的详细取证信息。管理员可通过修改威胁日志页面顶部列标题处的筛选器,仅显示关注威胁。
威胁详情数据
威胁详情数据是关于威胁事件的附加信息,反映设备在威胁事件期间的状态。该数据随威胁事件及类型变化,并受设备隐私政策及权限约束。本列表按字母顺序排列。
威胁工作流
管理员可通过勾选复选框并从操作下拉列表中选择,为特定威胁或事件执行工作流。
威胁处置选项
在 移动安全 控制台中,存在多种方法可表明威胁已处理并被标识为 已修复 或 已批准 状态。本节说明处置潜在威胁的不同方式。
选择日期/日期范围
威胁日志 页面默认显示当前日期,若威胁检测日期较早,需修改日志顶部日期。 点击日期旁下拉菜单箭头,选择以下选项之一:
-
今日
-
上周
-
本月
-
最近30天
如需更早日期,点击返回前几个月,选择起止日期后点击应用以生效新日期范围。
批准威胁
将事件标记为批准的选项可将特定事件设为管理员白名单。批准操作需点击 操作 按钮的下拉箭头,选择 批准威胁为 后指定原因:
-
开发者测试。
-
已知应用。
-
用户已被告知。
-
其他 - 若事件因其他解决方案被批准,请在文本框内输入原因。
选择“批准威胁”后,该事件将从本界面移除,但仍保留在 威胁日志 页面并标记为 已批准 .
标记为已修复
将事件标记为“已修复”表明该特定事件(例如设备上发现的恶意应用)被视为安全问题,并已由事件响应团队或管理员解决。
批准事件步骤:
-
点击 操作 按钮的下拉箭头。
-
点击“标记为已修复”,并选择原因:
-
开发者测试。
-
已知应用。
-
用户已被告知。
-
其他。
-
-
若选择 其他 (因事件通过其他解决方案被批准),请在“其他”字段输入原因。
-
随后事件将从本界面移除,但仍保留在 威胁日志 页面并标记为 已修复 .
应用开发者白名单选项
用户可为仍连接至 移动安全 控制台。将开发者证书加入白名单可确保所有对应应用均被批准允许。与企业侧载应用不同,白名单应用不会被标记为威胁。
从威胁日志中将开发者证书加入白名单:
-
在 威胁名称 字段中,查找需加入白名单的威胁名称(例如 侧载应用 ),并勾选该行左侧的复选框。
-
点击页面顶部的 操作 下拉菜单中的向下箭头。
-
选择 白名单应用开发者 选项。
-
操作成功后,将弹出提示框显示所选应用开发者已加入白名单。
-
点击 关闭 以关闭提示框。
通过威胁日志执行MDM操作选项
选择运行特定MDM操作的选项将显示可用操作。此列表为动态生成,与环境中的MDM操作相关。点击操作即可在关联设备上执行。该事件将保留在列表中,直至被标记为 已修复 或 已批准 .
注意
若要对多个威胁应用MDM操作,请通过「组」列筛选器选择单个MDM组。
威胁日志页面提供的MDM操作类型包括:
-
锁定设备 - 该操作将锁定设备直至威胁解除。
-
选择性擦除 - 此操作将选择性擦除设备上的企业信息。
-
通知EMM - 此操作将风险态势发送至EMM/MDM。
导出威胁日志
通过点击导出CSV按钮,可从威胁日志界面导出事件。仅包含筛选后的事件日志,并以CSV文件格式下载。CSV文件将通过电子邮件中的链接发送给提出请求的管理员。
使用数据保留设置清除日志
Bitdefender 提供90天的威胁和审计日志信息,这些信息会随时间增长。若您有不同数据保留需求,可将数据导出至外部系统以延长保留期限。