本文解释了如何监控和响应由Cato的终端保护 (EPP) 引擎识别的威胁。
为了提高您对端点和终端用户潜在威胁的警觉,您可以查看和分析潜在威胁的详细信息以确定如何响应。 如果EPP引擎识别出潜在的恶意活动,则会创建一个包含相关信息的事件。 EPP事件提供有关识别威胁的重要信息,例如威胁发生的端点、威胁的时间和日期以及触发事件的文件名。 有关分析事件的更多信息,请参见分析网络中的事件
您还可以从 端点保护仪表板查看和概览网络中EPP检测到的威胁
根据您的保护设置,可识别为可疑的文件可以被加密和隔离。 您可以查看隔离的文件,如果被认为安全,可以将其还原到原始位置。
您可以查看在定义时间范围内触发端点保护的所有事件。 引擎类型字段提供了有关触发事件的引擎的信息。
注意
注意: 事件可能在文件被阻止后需要6分钟才能创建。
下表列出了EEP恶意软件事件中的事件字段。
| 字段名称 | 描述 |
|---|---|
| 操作 | 与事件类型相关的操作,EPP尝试执行的操作。 |
| 采取的缓解措施 |
由EPP采取的操作。 缓解措施包括:
缓解措施由EEP个人资料定义。 有关更多信息,请参见配置终端保护。 |
| 采取的措施 | 列出所有采取的措施。 例如,EPP尝试对一个文件进行隔离,操作失败后,EPP再次尝试删除该文件。 采取的措施包括:[隔离, 删除]
|
| 客户端版本 | EPP的版本号。 |
| 设备名称 | 端点的计算机名称。 |
| 终端 ID | EEP代理的唯一ID。 |
| 引擎类型 | 检测到威胁的引擎。 |
| 端点保护配置文件 | 端点上的EEP配置文件。 |
| 事件计数 | 在一分钟内重复多次的事件计数。 |
| 子类型 | 事件的子类型类别。 |
| 事件类型 | 事件的类别。 |
| 文件哈希值 | 可疑文件的文件哈希值。 |
| 文件名称 | 可疑文件的文件路径和名称。 |
| 文件操作 | 终端用户触发事件的动作。 |
| 最终对象状态 |
在所有操作被执行(或尝试执行)后的文件最终状态 SCAN_FAILED表示EPP无法扫描该文件 |
| ISP 名称 | 端点连接到的ISP。 |
| 已登录用户 | 事件发生时终端用户已登录。 |
| 对象名称 | 可疑文件的文件路径和名称。 |
| 操作系统类型 | 端点的操作系统。 |
| 操作系统版本 | 端点的操作系统版本。 |
| 用户SID | 端点的SID。 |
如果您的保护设置为阻止和恢复,EPP将加密并隔离恶意文件。 这可以防止终端用户访问文件,并阻止有害进程在端点上运行。 隔离潜在威胁确保您的端点保持安全,并减少环境中的感染风险。
您可以监控隔离的文件,并在文件安全时将其恢复到原始位置。
您可以监控每个端点上已被隔离的文件。
0 条评论
请登录写评论。