飞连
飞连
- 文档首页
飞连管理员指南终端安全威胁响应任务管理
文档反馈
问问助手威胁响应是飞连终端安全体系的指令下发与任务管理中心。它整合了来自终端管理、防病毒、终端检测与响应(EDR)等多个模块的处置需求,为管理员提供统一的响应任务分发、进度追踪与结果审计工作台。
前置条件
已购买“终端防病毒授权”或“终端检测与响应(EDR)授权”。
本文档同时涵盖了“终端防病毒”与“终端检测与响应(EDR)”模块的操作指南。在阅读过程中,请结合您企业实际购买的功能模块进行参考。除文中明确标注为特定模块独有的功能外,其余操作和界面描述默认对两个模块均适用。
功能关联与任务来源
威胁响应作为底层指令执行单元,承接了来自不同安全模块的响应需求,实现了“一处研判,统一执行”的闭环逻辑。
任务来源模块 | 触发场景 | 关联响应动作 |
|---|---|---|
终端检测与响应 (EDR) | 在威胁告警 > 威胁行为详情页针对检出的攻击项执行处置。 | 结束进程、隔离文件、删除计划任务、删除注册表项、禁用服务。 |
终端防病毒 & 终端检测与响应 (EDR) | 在威胁告警 > 恶意文件/Skill 页面针对实体恶意文件执行处置。 | 隔离文件、恢复文件、获取文件。 |
终端管理 | 在终端详情页面对特定设备执行运维操作。 | 获取文件、隔离/恢复终端网络。 |
威胁响应 | 管理员在威胁响应页面主动创建并下发任务。 | 支持上述所有任务类型。 |
注意事项
- 高风险操作警示:删除计划任务、删除注册表启动项等操作执行后无法撤销。下发指令前请务必确认目标实体的恶意属性,以免导致系统关键功能异常。
- 审计合规性:根据等保三级等网络安全合规要求,威胁响应将保留近 180 天内的所有任务执行记录。
手动下发响应任务
除各安全模块关联触发外,管理员也可以在威胁响应页面手动创建并分发任务。
- 登录飞连管理后台。
- 前往终端安全 > 威胁响应。
- 点击页面右上角的下发任务。
- 在弹出的窗口中完成以下配置:
任务配置:选择任务类型并输入对应的参数。
任务类型
适用操作系统
必填参数
下发超时时间 (云端等待窗口)
执行超时时间 (终端处理窗口)
备注说明
文件提取
Windows、macOS
- 生效终端:单次任务仅支持选择一个目标终端。
- 文件路径:最多添加 10 条文件/目录路径;单次提取累计文件大小不可超过 180MB;支持输入文件绝对路径进行精确匹配,或使用环境变量和通配符模糊匹配。详情参考附录。
- 加密密码:自定义设置压缩包解压密码。
3 天
60 分钟
提取成功后,文件在服务端仅保留 3 天,过期后将自动删除,无法查看或下载。
隔离文件 / 取消隔离
Windows、macOS
文件路径:输入文件绝对路径进行精确匹配,或使用环境变量和通配符模糊匹配。详情参考附录。
15 天
30 分钟
支持配置多个路径。隔离文件时,解析后的实际隔离层级上限为 30 层,隔离文件总数量上限为 300 个。
结束进程
Windows、macOS
- 进程路径(必填):进程的可执行文件全路径。
- 进程 PID(选填):建议提供进程 ID 以确保精准结束特定进程实例。
15 天
30 分钟
/
禁用 / 取消禁用服务
Windows
服务名称:Windows 服务的系统内部名称(如
WSearch)。15 天
30 分钟
/
删除计划任务
Windows
计划任务全路径:需包含任务所在目录及任务名称。
15 天
30 分钟
不可撤销:执行后相关任务配置将从系统中永久移除。
删除注册表启动项
Windows
注册表数值名称:需填写注册表启动项对应的 Value Name。
15 天
30 分钟
不可撤销:执行后相关的自启动项将被清理。
生效对象:在生效终端栏中搜索并勾选目标设备。
- 点击确定生成任务。终端客户端将在 1 分钟内自动拉取并执行该任务。若任务长时间处于“待下发”状态,请检查目标终端的联网状态及客户端运行情况。
监控与管理任务状态
下发任务执行指令后,管理员可以在威胁响应列表实时追踪任务的触达情况及执行结果。
任务状态说明
通过列表中的处置状态列,您可以识别任务所处的阶段及最终结果:
处置状态 | 状态含义 | 说明 |
|---|---|---|
待下发 | 指令等待终端拉取 | 任务已在云端生成,正等待终端联网后通过心跳周期拉取。 |
执行中 | 终端正在处理 | 终端已接收指令并开始执行动作,尚未回传执行结果。 |
执行完成 | 指令成功执行 | 终端已成功完成指定动作(如成功结束进程、隔离文件等)。 |
执行失败 | 指令执行报错 | 终端在执行过程中由于文件不存在、权限不足等原因报错。 |
下发超时 | 云端下发超时 | 终端在 15 天内(文件提取为 3 天)始终未联网拉取该任务,任务已失效。 |
已超时 | 终端反馈超时 | 终端已接收任务,但在规定时间内(30/60 分钟)未向云端反馈结果。 |
已取消 | 任务人工撤回 | 管理员在任务处于“待下发”阶段时手动取消了该指令。 |
任务管理操作
管理员可根据任务所处的阶段及任务类型,在操作栏执行相应的后续管理动作:
- 取消下发
仅针对状态为待下发的任务。点击取消下发可拦截尚未被终端接收的指令。取消后,任务状态将更新为“已取消”。 - 下载文件(仅限“文件提取”任务)
当文件提取任务状态为执行完成时,点击操作栏的下载文件即可将提取到的加密压缩包下载至本地。- 隔离文件提取:若路径中含
infected文件夹,代表提取的是已隔离的风险文件,解压密码固定为infected。 - 普通文件提取:解压密码使用管理员下发任务时自定义设置的密码。
- 注意:提取成功的文件在管理后台仅保留 3 天,过期后将自动删除,请及时下载。
- 隔离文件提取:若路径中含
附录
路径表达式支持说明
在下发文件提取或隔离文件任务时,若恶意文件具备特定命名模式或散落于动态的用户目录中,您可以通过“环境变量 + 路径前缀 + 通配符”的方式进行灵活匹配,实现批量处理。
1. 支持的环境变量
环境变量必须搭配具体的路径或通配符使用(例如:%TEMP%\*.log)。严禁仅输入环境变量本身(例如直接输入 %TEMP% 将无法保存)。
- Windows 支持的环境变量:
%USERPROFILE%(当前用户主目录,如C:\Users\Alice)%USERNAME%(当前登录的用户名,如Alice)%PROGRAMDATA%(所有用户共享的程序数据目录,通常为C:\ProgramData)%TEMP%或%TMP%(当前用户的临时文件目录)%HOMEDRIVE%(当前用户主目录所在的驱动器盘符,通常为C:)%system32%(Windows 系统核心目录,通常为C:\Windows\System32)%syswow64%(Windows 系统 32 位兼容子系统目录,通常为C:\Windows\SysWOW64)
- macOS 支持的环境变量:
$HOME(用户主目录)
2. 支持的通配符
通配符不能放置在路径的首位。
*(星号):匹配任意长度的任意字符。示例:C:\Downloads\*可匹配该目录下所有文件。?(问号):匹配任意单个字符。示例:app?.exe可匹配app1.exe或appA.exe,但无法匹配app12.exe。
3. 配置示例
- ✅ Windows 设备正确配置:
%TEMP%\sys_update_*.exe(提取/隔离临时目录下所有以sys_update_开头的可执行文件) - ✅ macOS 设备正确配置:
$HOME/Downloads/malware_?.dmg(提取/隔离用户下载目录下形如malware_1.dmg、malware_A.dmg等符合单个字符差异的镜像文件) - ❌ 错误配置:
%TEMP%(缺少具体路径) - ❌ 错误配置:
*\sys_update.exe(通配符不能在首位)