终端防病毒集成阿里云恶意文件检测平台的能力,自动匹配阿里云最新的病毒引擎版本,能够及时有效地防护企业的办公终端,避免业务遭受重大损失。本文介绍终端防病毒支持的检测项及扫描方式、如何配置扫描任务、如何配置实时防御、配置文件的黑白名单以及查看扫描结果。
支持的检测项及扫描方式
|
类别 |
说明 |
|
检测项 |
支持反弹Shell后门、DDoS木马、下载器木马、引擎测试程序、黑客工具、高危程序、被污染的基础软件、恶意脚本、恶意程序、挖矿程序、代理工具、勒索病毒、风险软件、Rootkit、窃密工具、扫描器、可疑程序、感染型病毒、网站后门、蠕虫病毒检测、破解程序、漏洞利用程序、私服工具、广告程序、恶意文档。 |
|
扫描方式 |
|
创建扫描任务和处置方式
使用终端防病毒能力,首先需要创建扫描任务,配置扫描方式、性能消耗及对恶意文件的处置方式,然后SASE会根据您的扫描任务对终端进行扫描。
如果您需要周期性地对办公终端扫描,即创建定时扫描任务。如果您需要立即对办公终端扫描,即创建立即扫描任务,立即扫描任务在任务开始后的24小时内有效,如果在此时间段内,某个企业员工未登录SASE App,则无法扫描到该员工办公终端的数据。
创建定时扫描任务
-
登录办公安全平台控制台。在左侧导航栏,选择。
-
在终端防病毒页面,单击配置策略。
-
在定时扫描页签,单击新建定时任务。
-
参考下表配置定时任务,然后单击确定。
配置项
说明
示例值
任务名称
策略的名称。
防病毒策略_test
描述
策略的描述信息。
本策略主要是对本公司所有办公终端进行防病毒扫描。
优先级
策略的优先级。
策略优先级取值范围:1~10。数值越小,表示优先级越高。
1
策略状态
策略只有在开启状态下才能生效。
开启
检测项
支持反弹Shell后门、DDoS木马、下载器木马、引擎测试程序、黑客工具、高危程序、被污染的基础软件、恶意脚本、恶意程序、挖矿程序、代理工具、勒索病毒、风险软件、Rootkit、窃密工具、扫描器、可疑程序、感染型病毒、网站后门、蠕虫病毒检测。
全选
扫描方式
-
快速扫描
对系统关键路径进行扫描(如服务,驱动,启动项,当前运行的进程,下载目录,桌面目录,文档目录)。
-
自定义扫描
根据业务需要指定具体的扫描路径。
-
全盘扫描
对所有文件进行扫描。
快速扫描
定时频率
设置定时扫描的触发时间。
每隔3天,00:00-24:00
性能消耗
-
体验优先
资源消耗较小,保障员工办公体验,极端情况下会暂停或取消扫描任务。
-
均衡模式
均衡分配办公与安全所消耗资源,不影响办公体验的情况下完成扫描任务。
-
安全优先
性能占用较高,优先完成扫描任务,保障企业安全防线。
体验优先
处置方式
基于阿里云恶意文件检测平台的文件定级机制,您可自行匹配扫描文件的危险等级,并根据危险等级设置处置方式。
-
高危
可设置提醒用户或者提醒用户并隔离恶意文件。
-
中危
可设置提醒用户或者提醒用户并隔离恶意文件。
-
低危
可设置不处置、可设置提醒用户或者提醒用户并隔离恶意文件。
-
高危
提醒用户并隔离恶意文件
-
中危
提醒用户并隔离恶意文件
-
低危
提醒用户
生效用户
策略管控的用户。可选择全部用户或者部分用户,如果选择部分用户,则需要再选择要管控的用户组。
全部用户
例外用户
白名单用户。添加后,配置的策略不对白名单用户生效。
-
-
创建立即扫描任务
-
登录办公安全平台控制台。在左侧导航栏,选择。
-
在扫描任务区域,单击立即扫描。
-
参考下表配置立即扫描任务,然后单击确定。
配置项
说明
示例值
任务名称
策略的名称。
防病毒策略_test
检测项
支持反弹Shell后门、DDoS木马、下载器木马、引擎测试程序、黑客工具、高危程序、被污染的基础软件、恶意脚本、恶意程序、挖矿程序、代理工具、勒索病毒、风险软件、Rootkit、窃密工具、扫描器、可疑程序、感染型病毒、网站后门、蠕虫病毒检测。
全选
扫描方式
-
快速扫描
对系统关键路径进行扫描(如服务,驱动,启动项,当前运行的进程,下载目录,桌面目录,文档目录)。
-
自定义扫描
根据业务需要指定具体的扫描路径。
-
全盘扫描
对所有文件进行扫描。
快速扫描
性能消耗
-
体验优先
资源消耗较小,保障员工办公体验,极端情况下会暂停或取消扫描任务。
-
均衡模式
均衡分配办公与安全所消耗资源,不影响办公体验的情况下完成扫描任务。
-
安全优先
性能占用较高,优先完成扫描任务,保障企业安全防线。
体验优先
处置方式
-
高危
支持提醒用户、提醒用户并隔离恶意文件两种方式。
-
中危
支持提醒用户、提醒用户并隔离恶意文件两种方式。
-
低危
支持不处置、提醒用户、提醒用户并隔离恶意文件三种方式。
-
高危
提醒用户并隔离恶意文件
-
中危
提醒用户并隔离恶意文件
-
低危
提醒用户
生效用户
策略管控的用户可选择部分用户或者全部用户,如果选择部分用户,则需要再选择要管控的用户组。
全部用户
例外用户
白名单用户。添加后,配置的策略不对白名单用户生效。
-
-
配置实时防御和处置方式
当客户端出现新文档落盘或新进程运行时,会触发实时的病毒检测。通过设置实时监控机制,可以快速发现潜在的安全威胁或攻击行为,并立即采取措施进行阻止或缓解,从而减少损害范围。
-
登录办公安全平台控制台。在左侧导航栏,选择。
-
在终端防病毒页面,单击配置策略。
-
在实时防御页签,单击编辑配置项,参考下表配置实时防御,然后单击确定。
|
配置项 |
说明 |
|
策略状态 |
开启实时防御。 |
|
检测项 |
设置检测项,支持多选。 支持反弹Shell后门、DDoS木马、下载器木马、引擎测试程序、黑客工具、高危程序、被污染的基础软件、恶意脚本、恶意程序、挖矿程序、代理工具、勒索病毒、风险软件、Rootkit、窃密工具、扫描器、可疑程序、感染型病毒、网站后门、蠕虫病毒检测、破解程序、漏洞利用程序、私服工具、广告程序、恶意文档等。 |
|
处置方式 |
基于阿里云恶意文件检测平台的文件定级机制,您可自行匹配扫描文件的危险等级,并根据危险等级设置处置方式。
|
|
生效用户 |
设置需要检测的用户。
|
|
例外用户 |
设置检测用户白名单。添加后,配置的策略不对白名单用户生效。 |
配置文件的黑白名单
终端防病毒功能支持您对某一种文件设置黑白名单。例如您不需要对Windows操作系统中的.exe文件进行扫描,则可以将此类文件添加到白名单。如果您严令禁止某一种文件出现在企业员工的终端上,可以将此类文件添加到黑名单,添加后,如果存在该类文件,SASE会根据您扫描任务配置的处置方式,提醒用户或者隔离恶意文件等。
-
在终端防病毒页面,单击配置策略。
-
在黑白名单页签,参考下表配置文件的黑白名单。
支持设置Windows和macOS系统如下类型文件的黑白名单:
-
文件后缀:文件全名中最后一个点(.)后面的字符串为文件后缀。
例如,文件scan_file.exe的文件后缀为exe
-
文件名:文件全名,包括文件后缀。
例如,文件scan_file.exe的文件名为scan_file.exe
-
文件夹路径:文件夹的绝对路径。
例如,文件夹scan_dir的文件夹路径为C:\scan_dir
-
文件路径:文件的绝对路径。
例如,文件scan_file.exe的文件路径为C:\scan_dir\scan_file.exe
-
文件md5:文件内容的MD5签名。
例如,文件scan_file.exe的文件MD5为56486982bc352eb0e29efd54f7f0****
-
查看病毒统计数据
配置终端防病毒策略后,待业务运行一段时间,您可以在终端防病毒页面查看被SASE防护的企业员工终端情况。
在终端防病毒页面,默认为您展示近30天的病毒统计数据和分布情况。

|
序号 |
说明 |
|
① |
|
|
② |
|
|
③ |
|
|
④ |
以设备和员工两个维度,为您统计扫描结果的Top 5病毒数量。 单击详情,可查看所有办公设备和企业员工扫描的病毒数量。 |
|
⑤ |
|