隔离区 (端点)
隔离区 (端点) 是什么?
隔离区 (端点)将疑似恶意文件从原位置转移到受控、已失效化的存储中,使其无法执行但仍可分析或恢复的端点安全动作。
隔离(Quarantine)是 AV、NGAV、EDR 在判定文件为恶意时采取的经典响应动作。代理会将文件从磁盘移除(或拒绝访问),用只有代理掌握的密钥加密,并连同检测元数据存放在受保护目录中——例如 Windows 上的 ProgramData\Microsoft\Windows Defender\Quarantine,macOS 上的 /Library/Application Support/CrowdStrike。Defender、ESET、CrowdStrike、SentinelOne、Sophos 都提供集中式隔离控制台,管理员可在审阅后释放或提交样本到云端分析。Quarantine 与端点隔离不同:它针对单个文件进行无害化处理,而端点隔离则是切断整台主机。事件响应中两者通常通过 SOAR 剧本统一编排。
● 示例
- 01
Microsoft Defender 将一份下载的带宏 Word 文档隔离,加密后保存以供分析师审阅。
- 02
ESET Inspect 在分析师 triage 后,释放被误判为 Bredolab 的隔离 PDF。
● 常见问题
隔离区 (端点) 是什么?
将疑似恶意文件从原位置转移到受控、已失效化的存储中,使其无法执行但仍可分析或恢复的端点安全动作。 它属于网络安全的 防御与运营 分类。
隔离区 (端点) 是什么意思?
将疑似恶意文件从原位置转移到受控、已失效化的存储中,使其无法执行但仍可分析或恢复的端点安全动作。
隔离区 (端点) 是如何工作的?
隔离(Quarantine)是 AV、NGAV、EDR 在判定文件为恶意时采取的经典响应动作。代理会将文件从磁盘移除(或拒绝访问),用只有代理掌握的密钥加密,并连同检测元数据存放在受保护目录中——例如 Windows 上的 ProgramData\Microsoft\Windows Defender\Quarantine,macOS 上的 /Library/Application Support/CrowdStrike。Defender、ESET、CrowdStrike、SentinelOne、Sophos 都提供集中式隔离控制台,管理员可在审阅后释放或提交样本到云端分析。Quarantine 与端点隔离不同:它针对单个文件进行无害化处理,而端点隔离则是切断整台主机。事件响应中两者通常通过 SOAR 剧本统一编排。
如何防御 隔离区 (端点)?
针对 隔离区 (端点) 的防御通常结合技术控制与运营实践,详见上方完整定义。
隔离区 (端点) 还有哪些其他名称?
常见的别称包括: 文件隔离, 恶意软件隔离, 端点检疫。
● 相关术语
- defense-ops№ 050
杀毒软件 (AV)
端点软件,通过特征码库、文件扫描和基本启发式检测和清除恶意文件,是端点安全的历史基础。
- defense-ops№ 725
新一代杀毒软件 (NGAV)
在特征码扫描之外,结合机器学习模型、行为分析与漏洞利用防护,以阻止未知与无文件威胁的端点保护方案。
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
- defense-ops№ 381
端点隔离
EDR 响应动作,切断被攻陷主机除安全管理通道之外的所有网络通信,防止攻击者在响应人员调查期间继续横向移动。
- forensics-ir№ 524
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
- forensics-ir№ 650
恶意软件分析
对恶意样本进行结构化研究,以了解其功能、来源、入侵指标以及对受影响系统的影响。