Entry № 999
隔离区 (端点)
隔离区 (端点) 是什么?
隔离区 (端点)将疑似恶意文件从原位置转移到受控、已失效化的存储中,使其无法执行但仍可分析或恢复的端点安全动作。
隔离(Quarantine)是 AV、NGAV、EDR 在判定文件为恶意时采取的经典响应动作。代理会将文件从磁盘移除(或拒绝访问),用只有代理掌握的密钥加密,并连同检测元数据存放在受保护目录中——例如 Windows 上的 ProgramData\Microsoft\Windows Defender\Quarantine,macOS 上的 /Library/Application Support/CrowdStrike。Defender、ESET、CrowdStrike、SentinelOne、Sophos 都提供集中式隔离控制台,管理员可在审阅后释放或提交样本到云端分析。Quarantine 与端点隔离不同:它针对单个文件进行无害化处理,而端点隔离则是切断整台主机。事件响应中两者通常通过 SOAR 剧本统一编排。
● 示例
- 01
Microsoft Defender 将一份下载的带宏 Word 文档隔离,加密后保存以供分析师审阅。
- 02
ESET Inspect 在分析师 triage 后,释放被误判为 Bredolab 的隔离 PDF。
● 常见问题
隔离区 (端点) 是什么?
将疑似恶意文件从原位置转移到受控、已失效化的存储中,使其无法执行但仍可分析或恢复的端点安全动作。 它属于网络安全的 防御与运营 分类。
隔离区 (端点) 是什么意思?
将疑似恶意文件从原位置转移到受控、已失效化的存储中,使其无法执行但仍可分析或恢复的端点安全动作。
如何防御 隔离区 (端点)?
针对 隔离区 (端点) 的防御通常结合技术控制与运营实践,详见上方完整定义。
隔离区 (端点) 还有哪些其他名称?
常见的别称包括: 文件隔离, 恶意软件隔离, 端点检疫。