使用保护工作区识别和修复威胁
保护工作区提供环境中威胁事件和设备合规性数据的可视化表示,所有这些都来自单个仪表板。您可以快速识别在环境中检测到的威胁,并无缝导航至任何受影响的设备,以补救威胁。
保护工作区由多个部分组成,您可以在其中查看威胁并做出响应:
- 威胁概述— 查看多个类别的威胁信息。要跟踪遇到多种威胁并可能需要关注的设备,请查看升级的设备数量。根据影响系统的威胁的严重程度,设备会自动升级。要查看更详细的类别视图,请选择任意值。
- 合规性概述— 查看安全内容的状态以及环境中部署的各个产品。设备采用颜色编码来指示其安全状态(运行状况)。您可以轻松识别最新的系统或需要更新或产品部署的系统。
- 设备视图 — 按标签(默认)、系统树或列表查看您的设备。使用搜索功能可快速查找设备。 设备 视图会根据您选择的设备摘要而变化。如果您选择 升级,该窗格将显示所有升级的设备。
导航保护工作区在保护工作区中,您可以查看受管设备上的所有潜在威胁并对其做出响应。
保护工作区可帮助您回答以下问题:
- 高级威胁防护技术从以下产品中发现了什么 :
- 端点保护平台?
- 真正的保护?
- 端点保护平台安全 ATP?
- 为什么 设备会升级?
- 威胁从何 而来?
- 威胁是什么时候 发现的?
识别威胁保护工作区中的颜色代表发现的威胁类型:
红色 — 发现威胁,或者您的软件或设备正在运行过时的版本,必须更新才能合规。
橙色 — 存在需要调查的威胁或某些设备不是最新的。
绿色 — 环境的当前状态为健康,威胁已得到缓解,且设备合规。
灰色 — 无可用数据。
调查威胁保护工作区分为几个类别。这些类别允许您在一个地方查看合规性信息并管理关键威胁。当您与保护工作区交互时,从左侧开始并逐渐向右。
- 查看 ePO 服务器跟踪的设备总数以及标记为已升级的设备总数。
- 查看多个类别的威胁信息。当您查看升级的设备数量时,您可以跟踪遇到多种威胁并可能需要关注的设备。设备会根据影响系统的威胁的严重性自动升级。要查看更详细的类别视图,请选择任意值。
- 查看安全内容的状态以及环境中部署的各个产品。设备采用颜色编码,以指示设备的安全状态(健康)。您可以轻松识别最新的系统或需要更新或产品部署的系统。
- 按标记(默认)、以系统树或以列表格式查看设备。使用搜索功能可快速查找设备。设备视图因您所选的设备摘要而异。如果您选择了升级,则窗格会显示所有升级的设备。
- 深入查看设备详细信息和前五个威胁。
- 深入查询,以过滤和查看您的威胁活动。例如,您可以按设备、威胁或来源进程进行过滤。
保护工作区入门保护工作区分为多个类别,使您可以在一个位置查看合规性信息并管理关键威胁。当您与保护工作区交互时,从左侧开始并逐渐向右。
名字 |
类别 |
描述 |
[保护]工作区栏 |
设备 |
ePO 服务器跟踪的设备总数。 |
升级 |
标记为已升级的设备总数。选择一个设备并查看 升级的设备。如果系统在 24 小时内检测到 5 个或更多威胁,则会升级。 |
更新 |
每隔 5 分钟自动进行一次更新。单击刷新图标以手动重新显示保护工作区。 |
设置 |
使用保护工作区设置执行以下操作:
- 将界面更改为 高对比度模式
- 要自定义环境的安全级别,请调整 安全内容颜色阈值 和 签入失败颜色阈值
|
威胁概述 |
升级的设备 |
过去 7 天收到威胁的设备总数。如果系统在 24 小时内检测到 5 个或更多威胁,则会升级。 |
已解决的问题 |
过去 7 天内已解决的威胁总数。
- 基本 — 由 VirusScan Enterprise、Endpoint Security Threat Prevention 和 Microsoft Windows Defender 等产品检测。
- 高级 — 通过 Endpoint Protection Platform、Real Protect 和 Endpoint Security 自适应威胁防护 (ATP) 等高级检测技术进行检测。
|
未解决的威胁 |
已检测到但尚未解决的威胁总数和每日计数。箭头表示过去 7 天内的趋势。 |
Data Protection |
仅报告过去 7 天内数据丢失防护和本机加密管理事件的总数。 |
合规性 概述 |
安全内容
注意: 您必须安装产品扩展才能查看类别。 |
在特定天数内使用当前 DAT 的系统的百分比。例如,如果 DAT 在发布后 3 天内,则被视为合规。如果超过 3 天,则不合规。 |
软件状态 |
安全内容和环境中所部署的各个产品的状态。例如,McAfee Agent、Endpoint Protection Platform 和 Microsoft Windows Defender。
设备采用颜色编码来指示设备安全状态的健康状况:
- 绿色 — 最新(最新)版本。
- 橙色 — 落后一个或多个版本。
- 浅灰色 — 无可用数据。扩展已签入 ePO,但产品尚未部署。
- 深灰色 — 扩展已签入,但产品未安装在端点上。
|
设备管理状态 |
签入失败 表示超过 15 天未签入 ePO 服务器的设备数量。
不受保护的
托管设备 表示未安装这些反恶意软件产品的设备数量:
- 威胁防护
- 端点保护平台
- VirusScan Enterprise
受管设备 数表示过去 7 天内受管设备的总数。 |
设备 |
|
按系统树(默认)中的标签或列表查看您的设备。 使用搜索功能可快速查找设备。
“设备”窗格中显示的信息会根据您选择的类别而变化:
深入查询,以查看设备详细信息和前 5 个威胁。选择任何威胁以打开 “威胁详细信息 ”窗格,并查看有关特定威胁的具体详细信息。 |
威胁事件工作流程示例保护工作区提供网络安全状态的快照。这使您可以查看关键威胁,以便您可以调查并确定响应。
- 保护工作区显示 Trellix 产品的关键威胁事件和合规性。
- 安全管理员快速评估紧急事件和升级的设备。
- 安全团队调查升级后的设备,以确定响应。
将保护工作区标签应用到系统标记设备(系统)以升级合规性检查或将其排除在合规性检查之外。
任务
- 在保护工作区中,从标记、树或列表视图中选择设备。将打开设备详细信息窗格。
- 从 安全状态 下拉列表中选择一个标签。
- 单击确认。