【每日一记13】第13天：用edr远程处理中毒终端机

       发现系统中毒后，为了防止病毒扩散，通常先隔离，再查杀，查杀好了，再确认没病毒了，再加回网络。

       隔离传统的做法是用户电脑旁拔网线，再杀毒，但这样效率比较低（如果终端机比较多，又分布在不同的楼层），用了edr后，可以使用终端隔离功能，把中毒的终端机进行隔离，该主机只能与edr服务器端通信，再通过edr服务器端下发杀毒指令对其进行杀毒操作，杀毒完成后，再次检查，确认没病毒，再将他加会到网络，这样管理员就可以远程把问题解决了。

具体操作：

1、在首页=>威胁终端下图形方式展示全网终端威胁分布情况，如果已失陷数量大于0=>点击这个数字=>会显示具体已陷主机列表=>在列表的最右列是操作=>点击【终端隔离】=>该终端就相当于脱离了内网，只能与edr服务器交互（以下图片是高可疑终端，已失陷终端的上次没截图，样子是一样的）

2、再返回刚才的列表=>点击威胁处置=>再根据需要进行杀毒操作=>处置完成后=>该终端机就会从这个列表里消失

3、要恢复被隔离终端机=>点击响应中心=>已隔离终端=>再点击要恢复网络的终端机右侧【解除隔离】即可

-

感谢楼主的分享，主机中毒后无非就是隔离、杀毒再接入到网络，但是大量主机同时中毒的时候，手动处置就费时费力了，借助EDR的管理功能，自动化的进行隔离处置，效率要高的多

强， 学无止境，支持！

学到东西、点赞

强，新思路

打卡学习

分享的很有参考价值

学无止境，支持

vJ#sF5MSV.

好东西，通俗易懂，爱了爱了