飞连
飞连
- 文档首页
飞连管理员指南终端安全威胁告警管理恶意文件监控与处置
文档反馈
问问助手在飞连终端安全体系中,系统通过本地查杀引擎、云端扫描以及 EDR 威胁情报联动,全方位监测终端中的恶意文件风险。管理员可以利用统一的恶意文件工作台,对全网病毒文件进行实时监控、处置及全生命周期的追溯分析。
前置条件
已配置并生效病毒检测策略或终端采集策略,在策略生效范围内的员工终端设备内检测出病毒文件。
本文档同时涵盖了“终端防病毒”与“终端检测与响应(EDR)”模块的操作指南。在阅读过程中,请结合您企业实际购买的功能模块进行参考。除文中明确标注为特定模块独有的功能外,其余操作和界面描述默认对两个模块均适用。
查看全网病毒实况
登录飞连管理后台,前往终端安全 > 终端防病毒 > 告警事件 > 病毒查杀。系统将离散的检测事件聚合为文件实体,同一路径下该文件的多次检出记录将自动合并,管理员仅需通过单一列表项即可掌握该文件当前的最终处置状态。
多维筛选与风险定位
管理员可利用丰富的筛选工具,从不同维度评估企业终端的安全健康状况:
- 精细化属性过滤:支持按病毒类型、处置状态、文件路径以及威胁级别(高危、中危、低危)等维度进行组合筛选,优先处理高威胁度的检出项。
- 按人员与设备定位:利用员工和设备搜索,快速定位风险集中的特定人员或高风险终端。
- 查看设备全局状态:点击页面右上角的查看设备病毒状态,可跳转至终端资产 > 安全状态,进入以设备为维度的管理视图,统一查看全网各终端的病毒检出概况及防护能力开启状态。
病毒查杀列表字段说明
管理员可以点击列表右侧的自定义列图标,根据审计需求自主勾选并排列展示以下字段:
列表项 | 说明 |
|---|---|
最近一次告警时间 | 该文件实体最近一次被检出或处置状态发生变更的时间。 |
最早一次告警时间 | 该文件实体在终端上首次被系统发现的时间。通过对比最早一次告警时间与最近一次告警时间,可识别病毒在终端内的潜伏周期及是否存在持续复发的情况。 |
病毒文件信息 | 系统基于设备 + 文件路径 + 文件 Hash 唯一定义的恶意文件实体。鼠标悬浮可查看该病毒文件的详细信息。 |
文件路径 | 恶意文件在终端系统中的绝对存储路径。 |
处置状态 | 展示该病毒文件当前的治理结果。
|
用户信息 | 触发告警终端关联的员工姓名及部门信息。鼠标悬浮可查看更详细的入职信息与账号状态。 |
设备信息 | 告警终端的主机名、实时在线状态以及唯一的设备 ID(DID)。 |
操作系统 | 告警终端的操作系统类型及具体版本号(如 Windows 11、macOS 14 等)。 |
数据源 | 标识发现该威胁的技术来源。不同数据源的可见性取决于开通的功能模块:
|
处置恶意文件
管理员可以根据威胁性质,对单个或多个恶意文件下发处置指令,以实现阻断风险或误报修复。
登录飞连管理后台,前往 终端安全 > 终端防病毒 > 告警事件 > 病毒查杀。
选择处置对象:
- 单个处置:在目标文件所在行的操作列,点击处置。
- 批量处置:勾选列表左侧的一个或多个复选框,随后点击列表左下角的批量处置按钮。
在弹出的窗口中,根据研判结论选择所需的响应动作。
处置动作
适用场景
逻辑说明
隔离文件
已确认或高风险的恶意文件。
强制停止文件运行并将其移入系统隔离区,防止风险扩散。
恢复隔离文件
误判修复或经确认安全的已隔离文件。
将文件从隔离区还原至其原始存储路径。
信任文件
明确安全的业务文件或已知白名单。
将文件加入信任列表,后续系统将不再对其产生告警或自动处置。
取消信任
需要重新评估风险的已信任文件。
将文件移出信任列表,恢复系统对其的正常检测与防控能力。
删除文件
确认无需保留且需彻底清理的恶意样本。
从终端硬盘中物理删除该文件实体(此操作不可撤销)。
确认批量处置的执行逻辑:
- 智能校验:系统将自动比对文件当前状态。若选中的对象中包含已执行过该动作的文件,系统将自动跳过,仅对有效对象下发指令。
- 核对数量:在点击确认前,请仔细核对弹窗中提示的实际执行文件数量。
点击确定。系统将立即针对目标终端下发对应的安全任务,可随后进入详情页的“恶意文件处置时间线”查看执行结果。
回溯文件生命周期
点击列表中的详情可进入病毒文件深度分析页面。该页面将文件属性、风险背景及处置轨迹整合在统一视图中,辅助管理员完成精准定性。
- 风险特征概览
页面顶部展示了该恶意文件的身份标识及当前威胁程度:- 基础信息:查看文件名、威胁级别、处置状态以及文件路径、大小、Hash 信息、数字签名等核心属性。
- 快捷操作:
- 处置:点击可直接下发隔离、信任或删除等指令。
- 提取文件:获取病毒样本。若目标设备当前在线,系统将实时执行提取任务;若设备处于离线状态,指令将自动转为后台响应任务,待设备下次联网后自动执行。可至响应中心查看任务执行状态及下载提取到的文件。详情参看使用响应中心管理安全任务。
- 关联环境审计
系统自动关联了受影响的人员与设备背景,帮助管理员评估威胁的影响面与针对性。- 用户详情:查阅关联员工的部门、姓名、入职时间及账号状态。点击该员工全部告警可一键追溯该人员名下所有设备的历史染毒情况。
- 设备详情:查阅目标终端的 IP 地址、操作系统版本及 DID。点击该设备全部告警可跳转至以该设备为过滤条件的查杀列表。
- 恶意文件处置时间线
页面底部的恶意文件处置时间线完整记录了病毒文件从首次检出到历次处置的执行轨迹,每一条时间线记录均包含操作时间、文件状态变更结果以及对应的触发源。管理员可通过该时间轴回溯威胁的发现路径,并实时追踪人工指令的下发进度与反馈结果,确保风险处置已真正闭环。
查看系统防御日志
若在病毒检测策略中配置并开启可疑 powershell 脚本执行检测,且已在策略生效范围的员工终端设备内检测出可疑 PowerShell 事件后,将会生成系统防御日志。当前不少挖矿病毒和勒索病毒利用 Windows Powershell 脚本,达到恶意代码不落地即可长期驻留在系统中,持续进行攻击,建议您密切关注系统防御日志。
登录管理后台。
在左侧导航栏,选择终端安全 > 终端防病毒 > 告警事件。
单击系统防御页签,您可以查看飞连在终端设备检测到的系统防御事件。单击列表右上角的自定义列,您可以自定义系统防御日志展示的列和展示的顺序。事件的关键信息说明如下表所示。
信息项
说明
告警时间
终端设备发出病毒事件告警的时间,精确到秒。
用户信息
终端设备用户的姓名和部门,将鼠标悬浮在姓名上可以查看用户的详细信息。
设备信息
终端设备的名称和 DID,将鼠标悬浮在设备信息上可以查看设备的详细信息。
威胁描述
威胁描述包括可疑 powershell 命令执行或可疑 powershell 脚本执行。
命令行参数
可疑 PowerShell 命令行的参数。将鼠标悬浮在命令行上可以查看详细的命令行参数。
目标信息
可疑 PowerShell 脚本的信息,包括文件大小、文件路径、文件 MD5 和文件 SHA1。
处置方式
显示防病毒策略中配置的系统防御处置方式,包括宽松、适中、严格。
客户端结果
客户端根据系统防御处置方式,对该 PowerShell 命令或脚本的处置结果,包括:
- 已拦截:当处置方式为严格或适中时,默认为已拦截。
- 用户主动放行:当处置方式为适中时,若用户选择继续执行,则结果为用户主动放行。
- 系统默认放行:当处置方式为宽松时,默认为放行。
命中策略
当前病毒事件是否命中终端防病毒策略,如果命中策略,则会展示策略名称。
操作系统
终端设备运行的操作系统和版本号,操作系统包括 Windows。
操作
单击操作列中的参数加白,您可以将该 PowerShell 命令加到白名单中。
你可以在策略配置 > 通用配置 > PowerShell 运行参数白名单中查看、编辑、或删除已添加的白名单命令行参数。(可选)在列表右上角,单击导出列表,您可以导出包含当前列表数据的 .csv 文件。