終端防病毒整合阿里雲惡意檔案檢測平台的能力,自動匹配阿里雲最新的病毒引擎版本,能夠及時有效地防護企業的辦公終端,避免業務遭受重大損失。本文介紹終端防病毒支援的檢測項及掃描方式、如何配置掃描任務、如何配置即時防禦、設定檔的黑白名單以及查看掃描結果。
支援的檢測項及掃描方式
類別 | 說明 |
檢測項 | 支援反彈Shell後門、DDoS木馬、下載器木馬、引擎測試程式、駭客工具、高危程式、被汙染的基礎軟體、惡意指令碼、惡意程式、挖礦程式、代理工具、勒索病毒、風險軟體、Rootkit、竊密工具、掃描器、可疑程式、感染型病毒、網站後門、蠕蟲檢測、破解程式、漏洞利用程式、私服工具、廣告軟體、惡意文檔。 |
掃描方式 |
|
建立掃描任務和處置方式
使用終端防病毒能力,首先需要建立掃描任務,配置掃描方式、效能消耗及對惡意檔案的處置方式,然後SASE會根據您的掃描任務對終端進行掃描。
如果您需要周期性地對辦公終端掃描,即建立定時掃描任務。如果您需要立即對辦公終端掃描,即建立立即掃描任務,立即掃描任務在任務開始後的24小時內有效,如果在此時間段內,某個企業員工未登入SASE App,則無法掃描到該員工辦公終端的資料。
建立定時掃描任務
登入辦公安全平台控制台。在左側導覽列,選擇。
在終端防病毒頁面,單擊配置策略。
在定時掃描頁簽,單擊建立定時任務。
參考下表配置定時任務,然後單擊確定。
配置項
說明
樣本值
任務名稱
策略的名稱。
防病毒策略_test
描述
策略的描述資訊。
本策略主要是對本公司所有辦公終端進行防病毒掃描。
優先順序
策略的優先順序。
策略優先順序取值範圍:1~10。數值越小,表示優先順序越高。
1
策略狀態
策略只有在開啟狀態下才會生效。
開啟
檢測項
支援反彈Shell後門、DDoS木馬、下載器木馬、引擎測試程式、駭客工具、高危程式、被汙染的基礎軟體、惡意指令碼、惡意程式、挖礦程式、代理工具、勒索病毒、風險軟體、Rootkit、竊密工具、掃描器、可疑程式、感染型病毒、網站後門、蠕蟲檢測。
全選
掃描方式
快速掃描
對系統關鍵路徑進行掃描(如服務,驅動,啟動項,當前啟動並執行進程,下載目錄,案頭目錄,文檔目錄)。
自訂掃描
根據業務需要指定具體的掃描路徑。
全盤掃描
對所有檔案進行掃描。
快速掃描
定時頻率
設定定時掃描的觸發時間。
每隔3天,00:00-24:00
性能消耗
體驗優先
資源消耗較小,保障員工辦公體驗,極端情況下會暫停或取消掃描任務。
均衡模式
均衡分配辦公與安全所消耗資源,不影響辦公體驗的情況下完成掃描任務。
安全優先
效能佔用較高,優先完成掃描任務,保障企業安全防線。
體驗優先
處置方式
基於阿里雲惡意檔案檢測平台的檔案定級機制,您可自行匹配掃描檔案的危險等級,並根據危險等級設定處置方式。
高危
可設定提醒使用者或者提醒使用者並隔離惡意檔案。
中危
可設定提醒使用者或者提醒使用者並隔離惡意檔案。
低危
可設定不處置、可設定提醒使用者或者提醒使用者並隔離惡意檔案。
高危
提醒使用者並隔離惡意檔案
中危
提醒使用者並隔離惡意檔案
低危
提醒使用者
生效使用者
策略管控的使用者。可選擇全部使用者或者部分使用者,如果選擇部分使用者,則需要再選擇要管控的使用者組。
全部使用者
例外使用者
白名單使用者。添加後,配置的策略不對白名單使用者生效。
-
建立立即掃描任務
登入辦公安全平台控制台。在左側導覽列,選擇。
在掃描任務地區,單擊立即掃描。
參考下表配置立即掃描任務,然後單擊確定。
配置項
說明
樣本值
任務名稱
策略的名稱。
防病毒策略_test
檢測項
支援反彈Shell後門、DDoS木馬、下載器木馬、引擎測試程式、駭客工具、高危程式、被汙染的基礎軟體、惡意指令碼、惡意程式、挖礦程式、代理工具、勒索病毒、風險軟體、Rootkit、竊密工具、掃描器、可疑程式、感染型病毒、網站後門、蠕蟲檢測。
全選
掃描方式
快速掃描
對系統關鍵路徑進行掃描(如服務,驅動,啟動項,當前啟動並執行進程,下載目錄,案頭目錄,文檔目錄)。
自訂掃描
根據業務需要指定具體的掃描路徑。
全盤掃描
對所有檔案進行掃描。
快速掃描
性能消耗
體驗優先
資源消耗較小,保障員工辦公體驗,極端情況下會暫停或取消掃描任務。
均衡模式
均衡分配辦公與安全所消耗資源,不影響辦公體驗的情況下完成掃描任務。
安全優先
效能佔用較高,優先完成掃描任務,保障企業安全防線。
體驗優先
處置方式
高危
支援提醒使用者、提醒使用者並隔離惡意檔案兩種方式。
中危
支援提醒使用者、提醒使用者並隔離惡意檔案兩種方式。
低危
支援不處置、提醒使用者、提醒使用者並隔離惡意檔案三種方式。
高危
提醒使用者並隔離惡意檔案
中危
提醒使用者並隔離惡意檔案
低危
提醒使用者
生效使用者
策略管控的使用者可選擇部分使用者或者全部使用者,如果選擇部分使用者,則需要再選擇要管控的使用者組。
全部使用者
例外使用者
白名單使用者。添加後,配置的策略不對白名單使用者生效。
-
配置即時防禦和處置方式
當用戶端出現新文檔落盤或新進程運行時,會觸發即時的病毒檢測。通過設定即時監控機制,可以快速發現潛在的安全威脅或攻擊行為,並立即採取措施進行阻止或緩解,從而減少損害範圍。
登入辦公安全平台控制台。在左側導覽列,選擇。
在終端防病毒頁面,單擊配置策略。
在即時防禦頁簽,單擊編輯配置項,參考下表配置即時防禦,然後單擊確定。
配置項 | 說明 |
策略狀態 | 開啟即時防禦。 |
檢測項 | 設定檢測項,支援多選。 支援反彈Shell後門、DDoS木馬、下載器木馬、引擎測試程式、駭客工具、高危程式、被汙染的基礎軟體、惡意指令碼、惡意程式、挖礦程式、代理工具、勒索病毒、風險軟體、Rootkit、竊密工具、掃描器、可疑程式、感染型病毒、網站後門、蠕蟲檢測、破解程式、漏洞利用程式、私服工具、廣告軟體、惡意文檔等。 |
處置方式 | 基於阿里雲惡意檔案檢測平台的檔案定級機制,您可自行匹配掃描檔案的危險等級,並根據危險等級設定處置方式。
|
生效使用者 | 設定需要檢測的使用者。
|
例外使用者 | 設定檢測使用者白名單。添加後,配置的策略不對白名單使用者生效。 |
設定檔的黑白名單
終端防病毒功能支援您對某一種檔案設定黑白名單。例如您不需要對Windows作業系統中的.exe檔案進行掃描,則可以將此類檔案添加到白名單。如果您嚴令禁止某一種檔案出現在企業員工的終端上,可以將此類檔案添加到黑名單,添加後,如果存在該類檔案,SASE會根據您掃描任務配置的處置方式,提醒使用者或者隔離惡意檔案等。
在終端防病毒頁面,單擊配置策略。
在黑白名單頁簽,參考下表設定檔的黑白名單。
支援設定Windows和macOS系統如下類型檔案的黑白名單:
檔案尾碼:檔案全名中最後一個點(.)後面的字串為檔案尾碼。
例如,檔案scan_file.exe的檔案尾碼為exe
檔案名稱:檔案全名,包括檔案尾碼。
例如,檔案scan_file.exe的檔案名稱為scan_file.exe
文件夾路徑:檔案夾的絕對路徑。
例如,檔案夾scan_dir的檔案夾路徑為C:\scan_dir
檔案路徑:檔案的絕對路徑。
例如,檔案scan_file.exe的檔案路徑為C:\scan_dir\scan_file.exe
檔案md5:檔案內容的MD5簽名。
例如,檔案scan_file.exe的檔案MD5為56486982bc352eb0e29efd54f7f0****
查看病毒統計資料
配置終端防病毒策略後,待業務運行一段時間,您可以在終端防病毒頁面查看被SASE防護的企業員工終端情況。
在終端防病毒頁面,預設為您展示近30天的病毒統計資料和分布情況。
序號 | 說明 |
① |
|
② |
|
③ |
|
④ | 以裝置和員工兩個維度,為您統計掃描結果的Top 5病毒數量。 單擊查看更多,可查看所有辦公裝置和企業員工掃描的病毒數量。 |
⑤ |
|