飞连
飞连
文档指南
请输入
- 文档首页
飞连管理员指南终端安全威胁告警管理恶意 Skill 监控与处置
恶意 Skill 监控与处置
文档反馈
问问助手当管理员在终端安全策略中心配置并生效了 Skill 检测策略后,飞连客户端会在终端发现恶意 Skill 文件时上报审计日志。管理员可以在威胁告警功能中集中查看和处理全网的恶意 Skill 风险。
查看 Skill 告警
操作路径
- 登录管理后台。
- 在左侧导航栏,选择终端安全 > 威胁告警。
- 在页面顶部切换至恶意 Skill 页签。
在此页面,每一行数据代表一个在终端上被检出的独立恶意 Skill 文件实体。同一路径下该文件的多次检出或删除动作,都将自动合并并更新其状态,管理员仅需通过单一列表项即可掌握该文件当前的最终情况。
告警列表字段说明
在告警列表中,您可以通过各项筛选条件进行组合筛选,快速定位目标威胁事件。您也可以点击列表右上角的自定义列,根据审计需求勾选并调整列表展示的信息。核心字段说明如下:
列表项 | 说明 |
|---|---|
最近一次告警时间 | 该文件实体最近一次被系统检出或状态发生变更的时间。 |
最早一次告警时间 | 该文件在终端上首次被系统发现的时间。对比两个时间可识别风险潜伏周期。 |
告警名称 | 展示命中的具体威胁类型及其风险等级。 |
文件 Hash 信息 | 该恶意 Skill 文件的唯一 Hash 标识。 |
Skill 名称 | 检测出的扩展组件名称。 |
Skill 路径 | 恶意文件在终端系统中的绝对存储路径。 |
处置状态 | 展示该病毒文件当前的治理结果:
|
用户信息 | 触发告警终端关联的员工姓名及所属部门。 |
设备信息 | 触发告警终端的主机名、在线状态等。 |
操作系统 | 告警终端的操作系统类型及版本。 |
巡检方式 | 该事件被检出时的触发机制(实时防护 / 定时巡检 / 手动扫描)。 |
命中策略 | 检出该风险所命中的 Skill 检测策略名称。 |
告警处置与研判
针对列表中的恶意文件,管理员可以在操作列下发以下响应指令,以完成事件的研判取证或策略纠偏。
提取文件
当发现可疑的未知威胁,或者需要对某次告警进行深入的安全分析时,管理员可以通过提取文件功能,将终端上的恶意文件回传至管理后台。
- 在指定告警事件的操作列,单击提取文件。
- 确认提取后,系统会自动在终端安全 > 威胁响应生成一个文件提取任务。
- 若目标设备当前在线,系统将实时执行提取任务。
- 若设备离线,指令将自动转为后台挂起状态,待设备下次联网后自动执行。
- 您可以前往威胁响应页面查看任务进度,并在提取成功后下载该文件进行深度研判。
注意
- 提取的文件在管理后台仅保留 3 天,过期后将自动删除,届时将无法查看或下载,请及时处理。
- 若终端用户已在客户端本地删除了该 Skill 文件,则系统将无法再从终端提取该文件。
添加白名单
如经过研判确认某条告警属于误报,可以通过此功能将其加入全局白名单,避免后续持续产生告警干扰正常业务。
- 在指定告警事件的操作列,单击添加白名单。
- 在弹出的添加白名单侧滑页中,配置以下参数:
- 操作系统:选择该白名单生效的系统环境(Windows、macOS、Linux)。
- 白名单配置(文件路径):系统会自动填入当前告警的文件路径。您也可以按需修改,路径字段支持使用通配符
*。例如:C:\Users\*\Documents\*表示匹配所有用户文档目录下的所有文件。 - 备注:选填。建议填写添加白名单的原因(如“自研工具豁免”),方便后续审计。
- 生效范围:选择该白名单是应用于全部对象还是仅针对部分对象(特定员工/设备)生效。
- 配置完成后,单击确定。
添加成功后,系统后续将不再针对命中该白名单规则的文件触发告警,该规则统一在策略中心 > 白名单配置中进行维护。
最近更新时间:2026.05.08 17:49:56
这个页面对您有帮助吗?
有用
有用
无用
无用