跳至主内容

事件调查

安全事件 模块可帮助您对事件传感器在特定时间范围内检测到的所有安全事件进行筛选、调查和处置。

本模块包含以下功能:

  • 安全事件 :查看并调查安全事件。

  • 阻止列表 :管理事件中被拦截的文件。

  • 自定义规则 :创建用于排除或检测的自定义规则

注意

这些功能的可用性和运行状态可能因当前订阅计划包含的许可证类型而异。

安全事件页面

事件 页面提供了一个高度可定制的网格,用于显示过去90天内为您的托管公司生成的 EDR 事件列表。

注意

  • 要从EDR传感器模块或预防模块(如反恶意软件、高级威胁控制、Hyper Detect或反漏洞利用)接收事件,您需要安装事件服务器角色。

  • 与已删除端点相关的事件也会显示在此页面上,供所有具有 管理解决方案 权限的用户查看。在事件详情中,这些端点被标记为未托管。

此页面包含以下区域:

incidents_page_view_op_88126_en.png

  1. 智能视图 。此功能允许您自定义、保存并切换 事件 页面的不同加载配置。 面板包含以下部分:

    incidents_smart_views_88126_op_en.png

    搜索视图

    • - 使用此搜索字段按名称筛选下方部分显示的视图。 已保存

    • - 此部分显示所有未标记为收藏的已保存视图列表。 收藏夹

    • - 所有标记为收藏的视图均显示在此部分下。 默认

    • - 此部分显示默认提供的视图: 所有事件

      • 分配给您

      • 对于

    已保存 收藏夹 中的任何视图 类别,您可以点击 ellipses.PNG 重命名 删除 该视图。

  2. 视图选项 菜单。此部分为您提供了多种视图操作功能:

    • 保存 :使用此选项可保存对已保存视图所做的更改。

    • 另存为 :允许您以不同名称保存修改后的视图。

    • 放弃更改 :将已保存的视图恢复至原始状态。

    • 添加到收藏夹 :将视图添加至 收藏夹 类别。

    • 导出视图 :将事件网格导出为CSV文件。

      该文件包含与当前视图中显示的列相同的列。

      重要提示

      单次最多可导出10,000个事件。若数据集超过此数量,建议调整搜索选项。

    • 显示或隐藏筛选器 :隐藏或显示筛选器菜单。

    • 打开设置 :显示 设置 面板。

      您可通过此面板自定义视图中显示的列,并启用或禁用 紧凑 视图。

  3. 筛选器 区域。您可使用这些选项自定义下方网格中显示的事件。

    当前提供以下筛选条件:

    筛选选项

    详情

    ID

    输入您要查找事件的完整ID编号。

    仅显示ID匹配的事件。

    创建于

    选择特定日期范围。

    仅显示该时间段内创建的事件。

    最后更新于

    选择特定日期范围。

    仅显示该时间段内最后更新的事件。

    状态

    选择以下一个或多个状态:

    • 全部 - 显示所有事件,无论其状态如何。

    • 未处理 - 尚未调查的事件。

    • 调查中 - 当前正在调查的事件。

    • 误报 - 标记为虚假警报的事件。

    • 已关闭 - 调查已结束的事件。

    处理人

    从列表中选择 GravityZone 用户。

    仅显示分配给所选用户的事件。

    优先级

    从以下可用优先级中选择一个或多个:

    • 全部

    • 未知

    • 严重

    仅显示具有所选优先级的事件。

    严重性评分

    拖动滑动条上的两个调节钮或输入具体数值以设定严重性评分范围。

    严重性评分是介于10到100之间的数值,表示安全事件的潜在危险程度。评分越高,事件危险性越明确。该评分基于攻击指标和ATT&CK技术(如适用)提供上下文参考。

    仅显示严重性评分在选定范围内的事件。

    采取的措施

    从以下选项中选择一个或多个:

    • 全部

    • 已上报

    • 已拦截

    • 部分拦截

    仅显示标记了所选措施的事件。

    参数

    从可用参数中选择:

    • 告警名称 - 事件关联告警的名称。

    • Att&ck技术 - 事件中使用的MITRE技术名称。

    • ATT&CK技术ID - 攻击中使用的MITRE技术ID。

    • ATT&CK子技术 - 攻击中使用的MITRE子技术名称。

    • ATT&CK子技术ID - 攻击中使用的MITRE子技术ID。

    • IP地址 - 事件涉及的IP地址。

    • MD5 - 事件涉及文件的MD5哈希值。

    • SHA256 - 事件涉及文件的SHA256哈希值。

    • 节点名称 - 事件涉及的节点名称。

    • 用户名 - 事件涉及的用户名。

    • 文件名 - 事件涉及的文件名。

    • 文件路径 - 事件涉及的文件路径。

    • URL - 事件涉及的URL。

    • MAC地址 - 事件涉及的MAC地址。

    • 邮件主题 - 事件涉及的邮件主题。

    • 电子邮件地址 - 事件涉及的电子邮件地址。

    • 进程名称 - 事件相关进程的名称。

    • 进程路径 - 事件相关进程的路径。

    • 进程PID - 事件相关进程的标识符。

    • 注册表键 - 事件相关的注册表键。

    • 检测规则ID - 自定义检测规则的ID。

  4. 事件网格 。该网格显示所有符合当前筛选条件且不超过90天的事件。

    每个事件的可查看信息显示在以下列中:

    • ID - 事件的ID。

      点击事件编号可查看该事件的详细信息。

      勾选每个事件编号旁的复选框,以便在执行 更改状态 批量操作时包含该事件。

    • 创建时间 - 事件创建的日期

    • 最后更新时间 - 事件最后更新的日期。

    • 状态 - 事件的状态。

    • 负责人 - 负责该事件的安全分析师。

    • 优先级 - 分配给事件的优先级。

    • 严重性评分 - 为该事件分配的严重性评分。

    • 采取的措施 - 调查事件后采取的行动。

    备注

    各列信息的更多详情可通过 筛选器 部分查看。

  5. 点击 事件操作 按钮。该按钮提供以下选项:

    • 优先级设置 - 选择此选项将打开窗口,您可设置事件的新优先级并添加说明更新原因的注释。点击 更改 .

    • 分配 - 选择此选项将打开窗口,您可设置事件的新受理人并添加说明更新原因的注释。点击 更改 .

  6. 点击 状态变更 按钮。此操作用于对下方表格中所有选定终端执行批量操作。

    incidents_page_bulk_change_status_88126_en.png

    系统将显示确认窗口。

    incidents_page_confirm_change_status_432559_op_en.png

    您可通过 备注 文本框添加更改事件状态的原因说明。该注释将追加至事件已有注释中。

  7. 点击 优先级设置 按钮。此操作用于为下方表格中所有选定事件分配优先级。

    prioritize-button-incidents_cl_pt_88126_en.png

    系统将显示确认窗口。

    prioritize-button-confirmation-window_op_88126_en.png

    您可使用 备注 文本框用于填写变更优先级的理由注释。该注释将追加到该事件已有的注释中。

  8. 点击 分配 按钮。此操作可为下方表格中所有选定事件分配分析员。

    assign-button-incidents_cl_pt_88126_en.png

    系统将显示确认窗口。

    assign-button-confirmation-window_op_88126_en.png

    您可通过 备注 文本框填写变更分配对象的理由注释。该注释将追加到该事件已有的注释中。

事件管理

事件 页面中,您可以执行以下操作:

查看事件详情

要查看特定事件的更多信息,请使用以下方法:

  • 显示事件详情面板 :点击目标事件所在行的任意位置(ID列和实体列除外):

    incidents_page_incident_details_pane_432559_op_en.png

  • 显示扩展事件概览 :点击 ID 列下的ID。事件信息将以富卡片形式展示,根据所选筛选条件提供每个事件的概览。

    提示

    您也可以将光标悬停在 ID 列右侧,待 复制 按钮出现后点击,即可复制事件链接。

    incidents_page_copy_link_button_432559_en.png

更多信息请参阅 调查终端事件 .

更改事件状态

调查状态可帮助您追踪已调查完毕并标记为关闭或误报的事件、当前正在调查中的事件,以及尚未分析的开放或新事件。

按照以下步骤更改一个或多个安全事件的状态:

  1. 勾选 ID 列下方对应目标事件的复选框。切换网格页面时已选事件将保持选中状态。

    提示

    点击表头行的复选框可选中当前页面显示的所有事件。

  2. 点击 更改状态 按钮。

    系统将显示可用状态列表:

    incidents_page_change_status_432559_en.png

  3. 选择以下任一状态:

    • 开放 - 事件尚未开始调查。

    • 调查中 - 已开始调查该事件。

    • 误报 - 调查确认事件触发属于误报。

    • 已关闭 - 事件调查已完成。

    系统将显示确认窗口。

    incidents_page_confirm_change_status_432559_op_en.png

    窗口提供 将状态变更应用于所有关联事件 复选框。

    此外,您可通过 备注 文本框填写事件状态变更原因。该备注将追加至事件现有备注中。

  4. 点击 更改 确认请求。

查看与事件相关的事件和警报

您可以通过以下步骤直接搜索与事件相关的所有事件和警报:

  1. 点击与您想获取更多信息的事件对应的网格右侧菜单按钮。

  2. 选择 查看事件和警报 :

    incidents_page_view_events_alerts_432559_en.png

系统将在新浏览器标签页中打开 搜索 页面。查询字段会自动填充包含所选事件信息的字符串,并在下方显示搜索结果。

incidents_page_search_events_alerts_432559_en.png

调查终端事件

终端事件 选项卡显示在终端级别检测到的所有可疑事件,这些事件需要调查且尚未采取任何措施。

  1. 终端事件 选项卡中,从事件网格中识别您要分析的安全事件。

    • 使用事件卡片中的 查看图谱 按钮在新页面打开 事件图谱 ,或

    • 选择安全事件卡片打开其详情面板,快速查看该事件最重要的攻击指标。

    打开事件图谱后,您可以看到触发该事件的事件序列,并提供采取补救措施的选项。

    endpoint_incident_graph_47973_en.png

    1. 图谱选项卡

    2. 事件选项卡

    3. 响应选项卡

    4. 事件状态栏

    5. 事件信息面板

    6. 备注剪贴板

    7. 历史剪贴板

    8. 搜索栏

    默认情况下,图表会高亮显示 关键路径 以及触发该事件的事件。

  2. 开始分析触发节点详情面板中显示的信息,以找出事件的根本原因。

    endpoint_incident_trigger_node_47973_en.png

    在面板中,您可以找到有价值的信息,例如在触发节点上检测到的警报、事件的日期和时间,以及攻击者执行的命令行。

  3. 如果情况允许,请选择 添加到沙箱 按钮以引爆可疑或恶意元素,并查看沙箱报告以评估它们可能对您的环境造成的损害。

    提示

    为确保您没有遗漏任何内容,请调查与触发节点同级别的事件节点。

  4. 您可以继续分析构成关键路径的其他元素,直到清楚地了解导致事件的原因。

    • 如果威胁是真实的,请采取适当的措施来缓解它。了解更多可采取的措施,请参阅 节点详情 .

    • 如果威胁不是真实的,您可以转到图表顶部的 状态 菜单,将事件的状态设置为 误报 ,然后开始调查列表中的下一个事件。

      注意

      您可以使用 笔记 剪贴板留下关于事件的见解,以便在其他用户重新打开事件时提供上下文。

  5. 当需要进一步调查时,请导航至 事件 选项卡,查看作为调查事件的一部分生成的所有原始事件和警报。

图表

图谱 提供所调查事件及其背景的交互式图形化展示,突出显示直接参与触发该事件的元素序列(称为事件的 关键路径 ),以及所有其他相关元素(默认以淡化形式显示)。

该图谱包含过滤选项,可自定义事件图形以优化可视化效果,并设有详细信息面板,提供每个元素的更多信息,便于调查环境中发生的情况。

endpoint_incident_graph_elements_47977_en.png

  1. 筛选菜单

  2. 关键路径

  3. 搜索栏

  4. 节点详情面板

  5. 导航菜单

关键路径

关键路径 是从网络入口点开始,直至触发警报的事件节点之间,一系列相互关联的安全事件链。

事件的关键路径及其所有组成事件节点默认在图中高亮显示。 触发节点 在图中与其他元素明显区分,其信息面板默认随事件图谱一同显示,提供详细的触发节点信息。

Endpoint incident - Critical path elements

  1. 触发节点

  2. 带可折叠信息分区的节点详情面板

  3. 与事件间接相关的最小化节点

提示

选择触发节点以外的其他元素时,将不再高亮显示关键路径,而是展示从所选节点到事件起点的溯源路径。

安全事件节点

关于安全事件节点需知以下要点:

  • 每个节点代表涉事调查的特定元素。

  • 打开事件时,构成关键路径的所有节点默认详细显示,其他元素则淡化处理以避免视图混乱。

    • 悬停非关键路径节点时,将高亮该节点并显示其溯源路径,同时保持 关键路径 .

    Endpoint incident - Critical path

  • 从父节点衍生的三个及以上同类型动作事件节点会被归入可展开的集群节点。

    • 当集群节点折叠时,仅无子元素的节点会从事件图中隐藏。

    • 检测到可疑活动的节点不会被添加到集群节点中。

  • 点击节点将显示以下详细信息:

    • 将以蓝色高亮显示到端点节点的路径及所有其他相关元素。

    • 侧边面板包含可展开部分,提供所选节点的详细信息、触发检测时的警报、可用操作及建议。

  • 节点通过箭头线连接,表示事件期间在端点上发生的操作流程。每条线均标注了操作名称及其时间序号。

事件的以下元素可表示为节点:

节点类型

描述

端点

显示端点详情及补丁管理状态。

展示域主机及其端点信息。

进程

显示进程在当前事件中的作用、文件信息、进程执行详情、网络存在及进一步调查选项。

文件

显示文件在当前事件中的作用、文件信息、网络存在及进一步调查选项。

注册表

显示注册表信息及父进程详情。

了解更多节点详情 此处 .

筛选器

筛选器 菜单提供增强的筛选功能,可通过按类型或相关性高亮元素,或隐藏元素使事件图更紧凑易分析,从而全面操控事件图。

点击并按住 dragIcon.png 拖动 图标可将浮动筛选面板置于事件图内任意位置。

Endpoint incident Graph - Filters menu

当选择元素类型过滤器时:

  • 事件图表将缩小并高亮显示所选类型的所有元素,同时其他类型的元素会变暗。

  • 系统会立即打开一个面板,列出所有高亮元素。

Endpoint incident Graph - Process nodes

注意

从显示列表中选择一个元素,将在事件图表中高亮显示该元素,并打开包含该元素相关信息的详情面板。

每次只能应用一个过滤器。

过滤选项包括:

  • 关键路径 :高亮显示入侵事件的关键路径。

  • 终端 :高亮显示受事件影响的终端。

  • 进程 :高亮显示事件中涉及的所有进程类节点。

  • 文件 :高亮显示事件中涉及的文件类节点。

  • 域名 :高亮显示事件中涉及的所有域名类节点。

  • 注册表 :高亮显示事件中涉及的所有注册表类节点。

  • 元素关联性 :您还可以根据元素在事件中的重要性进行筛选。

    • Grey-Node.png 中性节点 :对安全事件无直接影响的元素。

    • Teal-Node.png 重要节点 :在安全事件中起相关作用的元素。

    • Green-Node.png 起源节点 :网络内事件的初始爆发点。

    • Orange-Node.png 可疑节点 :具有可疑行为、直接参与安全事件的元素。

    • Red-Node.png 恶意节点 :对网络造成损害的元素。

您还可以通过点击 显示/隐藏 按钮来隐藏事件图中的某些元素,该按钮在悬停于文件、域名和注册表类型的过滤器上时显示。

Endpoint incident - Filters Show/Hide button

隐藏元素类型会通过移除所有对应元素来重绘事件图,即使它们被缩小显示,但触发节点和含有子元素的节点除外。

导航器

导航器 使您能够通过使用迷你地图和不同的可视化级别快速浏览事件图并探索所有显示的元素。 导航器 默认处于折叠状态。展开时,菜单将显示整个事件图的缩略版本,以及用于调整可视化级别的操作按钮。

点击并按住 dragIcon.png 拖动 图标,将浮动导航器面板放置在事件图中的任意位置。

Endpoint incident - Graph Navigator

导航器 通过使用 overviewLevel.png 较少细节 zoomedLevel.png 更多细节 操作,可以轻松调整事件图的可视化方式。

注意

当事件图超出屏幕限制时,按住并拖动地图选择器到所需的事件图区域。

节点详情

节点详情 面板包含可展开的部分,其中包含所选节点的详细信息,包括您可以采取的预防或补救措施以减轻事件影响、检测类型的详细信息、节点上检测到的警报、网络存在、进程执行详情、管理安全事件的额外建议,或进一步调查该元素的操作。

要查看此信息并在面板内执行操作,请在安全事件地图中选择一个节点。

Endpoint incident - Node Details

  1. 您可以折叠 节点详情 面板,点击 折叠 按钮。

  2. 您可以通过点击四个主要部分的图标轻松浏览 节点详情 面板中显示的信息:

    • 警报 该部分显示所选节点触发的一个或多个检测,包括将元素纳入事件的Bitdefender技术详情、触发检测的原因、检测名称及检测日期。

    • 调查 。该部分显示初始检测的时间戳及发现该元素的所有端点。

    • 修复 。该部分显示 GravityZone 自动采取的措施、您可立即执行的威胁缓解措施,以及针对所选节点上每个检测警报的详细建议,以协助您处理事件并提升环境安全等级。

    • 信息 。该部分显示每个文件的通用信息,以及根据所选节点类型显示的特定信息。

  3. 您可以将 节点详情 面板拖拽至屏幕中央以便浏览内容。

    Endpoint incident - Node Details expand option
端点节点详情面板

端点 详情面板包含两个部分:

  • 修复 。显示 GravityZone 自动采取的威胁缓解措施及您可执行的操作。

    注意

    您可采取的操作范围可能因当前订阅计划包含的许可证类型而异。

    Endpoint incident - Endpoint node - Remediation

    • 隔离主机 - 使用此修复解决方案将终端与网络隔离。

    • 安装补丁 - 使用此操作在目标终端上安装缺失的安全补丁。此选项仅在安装了补丁管理模块(需单独许可证密钥的附加组件)时可见。了解更多关于安装补丁的信息 此处 .

    • 远程连接 - 使用此操作建立与当前事件相关终端的 远程连接 ,并直接在其操作系统上运行一系列自定义shell命令,以即时缓解威胁或收集数据用于进一步调查。

  • 设备信息 显示受影响终端的一般信息,如终端名称、IP地址、操作系统、所属组、状态、活动策略,以及一个可打开新窗口的链接,该窗口显示完整的终端详细信息。

    Endpoint incident - Endpoint node - Device info

    它还提供诸如已安装补丁数量、失败补丁或任何缺失的安全和非安全补丁等信息。

    此外,您可以生成终端补丁状态报告。此部分按需为目标终端提供。

    您可以在面板中执行以下操作:

    • 查看目标终端的补丁信息。要查看补丁详情,请点击 刷新 按钮。

    • 查看目标终端的补丁状态报告。要生成报告,请点击 查看终端补丁状态报告 按钮。

进程节点详情面板

进程节点详情面板包含四个部分:

  • 警报 显示在所选节点上触发的一个或多个检测,包括关于将该实体纳入事件的 Bitdefender 技术的详细信息、触发检测的原因、检测名称以及检测日期。每个警报的描述遵循最新的MITRE标准。

    EDR process node - Alerts

  • 调查 显示初始检测的时间戳以及发现此威胁的所有终端。

    EDR process node - Investigation

  • 修复措施 显示由 GravityZone 自动执行的威胁缓解措施及您可采取的操作。

    注意

    可采取的操作范围可能因当前订阅计划包含的许可证类型而异。

    EDR process node - Remediation

    • 终止 - 使用此操作可停止进程执行。该操作会在进程执行栏生成可见的终止进程任务。 System32 Bitdefender 进程不受此操作影响。

    • 隔离文件 - 使用此操作可隔离目标文件并阻止其执行有效载荷。此操作需在目标终端安装防火墙模块。

    • 将文件添加到阻止列表 - 在 阻止列表 页面管理被阻止的项目。

      注意

      只有拥有 GravityZone 管理员角色的用户才能将文件添加到阻止列表。

    • 将文件添加为例外 - 使用此选项可在特定策略中排除合法活动。选择此操作时,配置窗口会提示您选择要添加例外的策略。在 策略 > 反恶意软件 > 设置 .

    • 本节还针对所选节点上检测到的每个警报提供详细建议,帮助您处置事件并提升环境安全等级。

  • 进程信息 显示所选进程节点的详细信息,包括进程名称、执行的命令行、用户、执行时间、文件来源与路径、哈希值或数字签名。

    EDR process node - Process info

    在本节中,您可通过点击 哈希 字段中的可用哈希算法将项目哈希值复制到剪贴板,并将其添加至 拦截列表 .

    注意

    更多信息请参阅 文件拦截 .

文件节点详情面板

文件 节点详情面板包含四个部分:

  • 警报 显示所选节点触发的一项或多项检测结果,包括将该实体纳入事件的 Bitdefender 技术详情、触发检测的原因、检测名称及检测日期。每个警报描述均遵循最新MITRE标准。针对所选节点检测到的每个警报,系统会提供详细建议以协助您处置事件并提升环境安全等级。

    Endpoint incident - File node - Alerts

  • 调查 显示首次检测时间戳及所有发现该元素的终端。

    Endpoint incident - File node - Investigation

  • 修复措施 显示由 GravityZone 自动执行的威胁缓解措施及可采取的操作。

    注意

    可执行的操作范围可能因当前订阅计划包含的许可证类型而异。

    Endpoint incident - File node - Remediation

    • 隔离文件 - 使用此操作将可疑项目隔离并阻止其执行有效载荷。此操作需在目标终端安装防火墙模块。

    • 将文件加入阻止列表 - 在 阻止列表 页面管理被拦截项目。

    • 添加文件为例外 - 使用此选项在特定策略中排除合法活动。选择此操作时,配置窗口会提示选择需添加例外的策略。在 策略 > 反恶意软件 > 设置 .

  • 文件信息 显示所选文件节点的详细信息,包括文件来源和路径、哈希值或数字签名。

    Endpoint incident - File node - File info

    在本部分中,您可以通过点击 哈希 字段中的可用哈希算法将项目哈希值复制到剪贴板,并将其添加到 阻止列表 .

    注意

    更多信息,请参阅 阻止文件 .

注册表节点详情面板

注册表 节点详情面板包含三个部分:

  • 警报 显示注册表操作严重性(由将该实体纳入事件的 Bitdefender 技术标记)、触发检测的原因、检测日期及注册表类型。

    Endpoint incident - Registry node - Alerts

  • 修复 显示由 GravityZone .

    Endpoint incident - Registry node - Remediation

    注意

    注册表节点的 修复 部分不提供任何用户操作选项。

  • 注册表信息 显示所选注册表节点的详细信息,包括注册表键、键值及数据。

    Endpoint incident - Registry node - Registry info

    可点击注册表键和键值将其复制到剪贴板以供进一步分析。

搜索栏

搜索栏 具备两项功能:

EDR incident - Search bar

  • 搜索节点 。点击 magnifier.PNG 后搜索栏展开,可输入信息并搜索图中特定节点。

  • 事件触发器 。直接跳转至触发警报的节点链接。

事件

使用 事件 选项卡可查看事件序列如何演变为触发当前调查的事件。此窗口显示由 GravityZone 技术(如EDR、网络攻击防御、异常检测、高级反漏洞利用或Windows反恶意软件扫描接口(AMSI))检测到的相关系统事件和警报。

注意

检测过程中涉及的技术可用性可能因当前订阅计划包含的许可证而异。

每个事件都有详细说明,根据最新的MITRE技术和战术,解释检测到的内容以及如果该工件被用于恶意目的可能发生的情况。

使用筛选选项显示所有事件,或按Att&ck战术分组。您还可以在预定义事件类别后使用搜索栏查找事件。网格中填充了已排序的事件。

endpoint_incident_events_grid_88445_en.png

选择网格中的任意事件以打开其侧面板并分析主要攻击指标,如命令行、网络详细信息或其他特定信息。

Event - Details panel

EDR响应

响应 页面提供默认的智能视图,您可以使用这些视图访问需要立即关注的操作、显示具有特定状态(如进行中、已完成或已驳回)的操作的页面,或与特定事件关联的所有响应列表。

Extended incident - Response tab

所有操作均以动态网格形式提供,具有多种筛选和排序选项,如按操作类型、对象、目标、状态等进行筛选。

提供多列,包含以下信息:

  • 类型 - 正在执行的操作类型。可能的值:

    • 遏制

    • 缓解

    • 强化

  • 操作 - 正在执行的操作名称。

  • 对象 - 正在执行操作的实体或资源的名称。

    注意

    如果对象是终端,名称是可点击的链接,将打开 终端详细信息 面板。

  • 目标 - 执行操作的目标实体类型。可选值:

    • 终端

    • 文件

    • 进程

    • 注册表

  • 详情 - 提供与所执行操作相关的附加信息。

  • 执行时间 - 操作触发的日期。若操作是自动化响应结果,则显示终端上报日期。

  • 执行者 - 标明操作执行者身份。

  • 来源 - 标明操作发起的源头。

事件信息

该面板包含可折叠区域,展示事件ID、当前状态、创建与最后更新时间、涉及工件数量、触发器名称与描述、攻击信息等详情。

endpoint_incident_info_90277_en.png

面板还包含触发事件的元素上检测到的警报。

事件状态栏

事件状态栏提供安全事件标签,可帮助识别涉及网络终端的关键信息。

incident_status_bar_cop_90292_en.png

  1. 事件ID - 调查中事件的编号及是否被阻断或上报。

  2. 检测时间戳 - 事件触发的日期与时间。

  3. 状态 - 事件当前状态。

  4. 分配人 - 事件指派给的用户。

  5. 优先级 - 每个事件的优先等级。

  6. 功能图标及其描述:

备注剪贴板

备注 剪贴板提供了一种简便方式,可为事件添加注释以跟踪变更和事件归属。

显示注释

要查看可用注释列表,请点击状态栏右侧的 注释 按钮:

Extended incident - Notes clipboard

注意

每条注释旁将显示其创建者的用户名。若用户属于合作公司,则会显示 合作伙伴 名称。

添加注释

添加注释需按以下步骤操作:

  1. 点击剪贴板左下角的 添加注释 按钮。

  2. 填写注释内容。

    Notes clipboard - Add note

    注意

    每条注释最多可包含2048个字符。

  3. 选择 保存 .

    注意

    批量操作时,将为所有事件批量添加单一注释。

编辑注释

编辑注释需按以下步骤操作:

  1. 选中待编辑注释右侧的 菜单 按钮。

    Notes clipboard - Edit note

  2. 选择 编辑 .

  3. 进行必要的修改:

    Notes clipboard - Edited note

    注意

    每条注释最多可包含2048个字符。

  4. 选择 保存 .

注意

若要取消编辑注释,请点击 取消 ,然后选择 放弃 .

删除注释

要删除注释,请按照以下步骤操作:

  1. 选择要删除注释右侧的 菜单 按钮。

    Notes clipboard - Delete note

  2. 选择 删除 .

    注意

    此选项仅适用于您自己的注释。

  3. 再次选择 删除

历史剪贴板

历史 面板提供了一种简便的方式来跟踪事件的历史记录。以下事件会被跟踪:

  • 状态已更改

  • 分配或重新分配事件

  • 设置或更改事件优先级

  • 添加、编辑或删除事件备注

  • 创建事件

  • 更新事件

列表按时间顺序显示,从底部最新到顶部最旧:

Extended incident - History panel

每个事件将包含以下信息:

  • 事件类型

  • 事件描述

  • 事件发生的日期和时间

注意

某些事件,例如 分配 , 状态变更 优先级变更 ,还会包含执行操作的用户详情。

远程连接

先决条件

要能在远程连接中启动终端会话至端点,请确保:

  • 端点安装的 Bitdefender 代理版本支持远程连接功能。

  • 端点已开机且在线。

  • 端点运行Windows操作系统。

  • GravityZone 可与端点通信。

  • 您的 GravityZone 账户对目标端点具有管理权限。

启动远程连接

要通过远程连接访问端点,请按照以下步骤操作:

  1. 前往 事件 页面。

  2. 点击要调查的端点事件。

  3. 在其关系图中,点击需要连接的端点节点。

    右侧将显示详细信息面板。

  4. 点击 远程连接 详细信息面板中的按钮。

    remote-connection_90099_en.png

    随后 远程连接 窗口将显示。

    Screenshot__428_.png

  5. 点击 连接至主机 以启动远程连接,直接在当前事件涉及的端点上进行调查并采取行动。

  6. 在终端中,您现在可以直接在端点的操作系统上运行多个自定义shell命令,用于即时清除威胁或收集数据以进行进一步调查。

重要提示

远程连接 功能仅可通过事件详细信息面板使用,并提供对预定义命令集的访问权限。

创建远程连接

  1. 点击 连接至主机 按钮启动实时会话。

    连接状态将显示在端点名称旁边。

    • 如果连接失败,终端窗口将显示错误信息。

    注意

    同一终端最多可同时开启五个会话。

  2. 连接成功后,终端将显示可用命令列表及其描述。

    在终端窗口中输入所需命令后按 回车键 .

    注意

    如需了解命令详情,请输入 help 后接命令名称(例如 helpps ).

  3. 命令执行成功后,终端将显示输出结果。

    • 若终端未能完成命令执行,该命令将被丢弃。

  4. 点击 结束会话 按钮可终止连接。

    终端会话在闲置五分钟后将自动终止。

    连接终端时若切换至远程连接标签页之外的其他界面,也会结束终端会话。

终端会话命令

EDR终端会话命令为跨平台通用语法定制shell命令,以下列出可通过终端会话在端点上执行的可用命令:

本节内容 :