华为云用户手册

数据调研 在项目交付进行方案设计和实施开发之前，需要梳理当前项目中的原始数据有哪些，即数据调研。本实践的数据源如下： 表1 数据源信息 归属系统 数据类型 DB&表 说明 源端-门店系统 MySQL store_mgmt.t_user_store_info 源端门店基本信息表，需要通过数据调研的方式获取表结构。 源端-订单系统 MySQL order_mgmt.t_trade_order 源端订单基本信息表，需要通过数据调研的方式获取表结构。 目标端-数据中台 MRS -Hudi t_trade_order t_user_store_info 目标端系统，不需要做数据调研，但是由于后续做数据迁移入湖时需要用到，因此可以在本章节统一创建数据连接。 实施责任人（本实践设置为“解决方案工作台Trial_TE”）在交付空间内左侧导航栏选择“交付中心-实施管理”，在相应的项目下点击【实施交付】按钮，进入后切换至“作业管理”TAB页下的“数据调研作业”页面。 图2 数据调研作业页面 点击【管理应用系统和数据连接】，创建公司组织架构信息。 在开始对调研对象进行监控前，需要创建应用系统列表，用于展示公司的组织架构信息。后续的数据连接以及监控等需要按照组织架构进行划分。 图3 创建组织架构信息 如上图所示，创建了三个应用系统，分别表示源端的门店和订单系统、以及目标端的数据中台管理系统。 创建数据连接。 按照公司组织架构，根据对应的连接系统和数据库连接类型管理用户的数据连接，以便完成数据调研以及后续的数据实施。 图4 创建数据连接 在本实践中，需要将客户源端的MySQL数据迁移至云上MRS，如下图所示为本实践配置的数据连接，分别是源端的两个MySQL连接和目标端的一个MRS Hudi连接。 图5 数据连接清单 添加监控对象，配置想要采集的数据连接的库表信息，以及所需采集的空值字段的表名和表字段名。 图6 配置调研规则入口 为了做源端数据调研，需要对源端系统进行监控，若需要对字段的空置率进行检测，则可配置要检测的字段名。 进入“配置调研规则”页面后，点击【添加监控对象】。如下图添加了两个源端连接（订单系统、门店系统）作为监控对象。 图7 添加监控对象 点击右下角的【下一步】，配置鉴权码。本实践选择【关闭】。 数据调研结果可在线上报或离线导入。若运行调研工具的服务器可访问公网，则可在此选择【开启】鉴权码，将开启状态的鉴权码配置到数据调研的配置文件中，数据调研结果将会在线上报至解决方案工作台；否则需要离线导入，此时可选择【关闭】鉴权码。 图8 配置鉴权码 点击右下角的【下一步】，配置采集规则。 解决方案工作台支持使用调研工具对源系统进行数据调研，支持配置数据调研规则，包含DB、表信息等采集周期和具体时间，若未配置，则按默认规则进行数据采集。 DB采集：配置数据库采集时间，如：数据库类型，数据库表数，数据总量，采集时间。 表信息采集：配置表的采集时间。 字段采集：配置字段采集时间。 上报采集：配置库、表、字段采集信息的上报时间。 删除字段：各项目根据自己公司的实际情况，配置表在软删除时删除字段的名称。 图9 配置采集规则 点击【确定】，将会自动下载配置文件application.properties。您可以将配置文件保存至本地并补充待调研系统的数据库登录信息。 配置文件中包含了前面配置的规则、数据源信息等，用户可以修改配置文件中的信息。由于解决方案工作台不记录数据库密码，因此下载配置文件后可自行在文件中补充数据库登录密码。 图10 下载配置文件 图11 更新配置文件 返回“数据调研作业”页面，下载探源工具示例代码，结合下载的配置文件按照探源工具指导对源系统进行数据调研。 下载探源工具示例代码 图12 下载探源工具示例代码 将下载的压缩包解压缩。jar包已提供为分段压缩包，把子压缩包放在一个文件夹中解压即可得到完整jar包。同时支持通过修改代码，重新编译打包。 将jar包放入远端服务器中，即环境准备中用来做调研的服务器中。例如，本最佳实践需要对两个MySQL数据库进行数据调研，则可将本探源工具放入准备好的某台linux服务器中，只需保证该服务器网络可访问到这两个MySQL数据库即可。 将5中下载的配置文件application.properties放入该远端服务器中。注意，需要和jar包在同一个目录下。 图13 探源工具 运行启动脚本：run_agent.sh 启动后，将会按照5中配置文件application.properties的规则进行数据调研，获取指定数据库的数据结构。更多说明，请参考探源工具示例代码中的指导。 探源工具通过查询指定数据库的系统表获取相关信息，对数据库压力较小，但为了保证不影响业务，建议将探源工具的定时任务设置在凌晨等压力较小的时间段进行。 查看监控对象数据调研结果。数据调研结果可在线上报或离线导入：若运行探源工具的服务器可访问公网，则支持在线上报；否则需要离线导入。 在线上报 按照5中配置文件application.properties的采集和上报规则，调研结果可在线上报到解决方案工作台（要求运行探源工具的服务器可访问公网）。在图15中点击刷新按钮即可。 离线导入 若调研的系统仅能在客户侧内网运行，则可通过离线导入的方式将调研结果（6运行后会在相同目录下生成数据压缩包）导入到解决方案工作台。 图14 探源工具运行结果 图15 查看调研结果 点击表名可查看详细表结构，包括表行数、表数据量、空值率检测（该表是否进行了空置率检测）等。 图16 数据探源结果 生成入湖清单 对于探源到的数据，可将需要的数据配置生成入湖清单，后续基于入湖清单可直接生成 CDM 迁移入湖作业。如，本实践中需要将探源到的订单系统和门店系统进行数据迁移，通过CDM迁移至云上MRS Hudi，则可选择这两个系统下的表生成入湖清单，目标端选择MRS Hudi。 图17 新增入湖清单 图18 配置入湖清单 图19 入湖清单

在需求的流程图里选择的默认处理人后面可以更改吗？ 用例的设计人和用例的执行人修改后，提交需求，审核通过后就直接生效了，后续是可以修改的，可以在流程图里修改，也可以由主处理人在用例管理界面修改。 需求提交人在流程图里不能修改，因为提交人已经是当前操作人了。 测试需求审核人、测试用例审核人、测试报告审核人，在后续环节中可选择其他成员作为审核人。如下图所示，会默认显示流程图里的处理人，您也可以修改处理人。 图1 提交用例设计 父主题： 验证中心

常用功能配置 检测网络状况 单击查看“网络状态”中的“时延”。 在命令执行窗口中输入以下命令，检测终端接入桌面的网络状况。 ping 桌面的互联网接入地址 进入UOS操作系统桌面命令窗口的步骤： 在桌面任意空白处，单击右键，选择“在终端中打开”。 在任务栏单击，选择“终端”。 进入Windows操作系统桌面命令执行窗口的步骤： 在开始菜单中“搜索程序和文件”应用中输入cmd，打开命令执行窗口。 安装应用程序 以下方法需要管理员预先开启相关策略或必要配置。

背景信息 病毒文件是指终端上的病毒文件，包括木马病毒、灰色软件等，会破坏用户文件、影响系统运行。 租户需要对“未处置”病毒威胁事件进行处置，处置方法包括“快速处置”和“标记状态”。 快速处置：使用系统推荐的快速处置方式，租户需核实确认并进行处置下发。处置过程中病毒文件事件显示为“处置中”，处置成功则返回状态“处置成功”，处置失败则返回状态“处置失败”。 标记状态：租户可手动对病毒文件事件进行标记，标记后处置状态分别显示为“忽略”、“已人工处置”。 网络隔离：对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”，在隔离终端列表可以执行“恢复”操作。

防勒索场景 勒索软件是不法分子通过加密文件等方式劫持用户文件，借此索要钱财的一种恶意软件。勒索软件变种多，更新快，难以防范，攻击目标一般是终端上的文件，会在企业内部的终端上进行横向扩散，给企业的终端安全带来很大的风险和挑战。 勒索软件对企业可造成如下危害： 企业遭遇勒索，直接导致大额经济损失。 企业重要文件被加密，业务被迫中断，生产力遭遇冲击，间接影响企业经济。 企业重要数据遭遇篡改或公开，声誉受损，大众对企业信任度降低。 智能终端安全服务针对勒索软件，可以实现： 对全磁盘目录进行实时防护，阻止勒索软件以浏览器下载、U盘转移等方式入侵。 提供诱饵捕获功能，针对勒索病毒特征设置诱饵文件，及时捕获异常事件。 针对勒索病毒特征，提供文件防篡改功能，支持重点文件访问权限控制，及时上报加密行为。 围绕勒索攻击过程，检测各个攻击场景的威胁事件，自动下发威胁处置策略。 针对勒索病毒文件，提供病毒查杀功能，隔离相关文件。

防挖矿场景 挖矿木马是指非法入侵终端并持续驻留，利用终端计算能力挖矿来为攻击者谋取利益的一种恶意软件。挖矿木马潜伏时间长，隐蔽性高，挟持大量计算资源，对企业终端安全造成巨大威胁。 挖矿木马对企业可造成如下危害： 企业消耗大量电力资源，遭受重大经济损失。 企业终端CPU被持续占用，系统业务响应变慢，设备寿命减短。 企业终端存在恶意连接，重要信息面临泄露风险。 智能终端安全服务针对挖矿木马，可以实现： 对全磁盘目录进行实时防护，阻止挖矿木马以浏览器下载、U盘转移等方式入侵。 通过HiSec Endpoint Agent上报的DNS请求数据，与威胁信息矿池库做对比，检测是否存在向挖矿矿池请求的恶意连接，及时发现威胁事件。 针对挖矿木马，提供病毒查杀功能，检出挖矿文件并将其隔离。

防无文件攻击场景 无文件攻击是一种不向磁盘写入可执行文件的攻击方法，难以被基于文件扫描的传统防病毒方案检测到，隐蔽性强，入侵成功率高。 无文件攻击可对企业造成如下危害： 企业终端CPU被持续占用，系统业务响应变慢，设备寿命减短。 企业终端存在恶意连接，重要信息面临泄露风险。 智能终端安全服务针对无文件攻击，可以实现： 提供 威胁检测 功能，识别无文件攻击产生的恶意进程，并进行自动阻断。 针对使用不可执行文件进行攻击的场景，提供病毒查杀功能，隔离相应文件。 自动关闭无文件攻击的计划任务，防止其定期攻击终端。

防病毒场景 计算机病毒是指会破坏终端功能或数据的一组指令或代码，通常附着在文件上以病毒文件的形式出现。近年来，网络病毒攻击日趋频繁，终端安全面临着前所未有的挑战。 计算机病毒可对企业造成如下危害： 企业系统瘫痪，生产线控制紊乱，无法开展正常业务。 企业数据遭遇破坏或丢失，蒙受巨大损失。 智能终端安全服务针对计算机病毒，可以实现： 对全磁盘目录进行实时防护，阻止病毒文件以浏览器下载、U盘转移等方式入侵。 检测病毒文件运行产生的恶意进程，进行自动化处置。 针对病毒文件，提供病毒查杀功能，进行隔离操作。

USG6000F-Exx USG6000F-Exx的介绍以USG6000F-E01为例，其他机型与USG6000F-E01存在少许差异，具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图4 USG6000F-E01外观和辅料 表7 USG6000F-E01业务口说明 接口名称 描述 GE电接口（0～15） 接口编号为GE0/0/0～GE0/0/15。 GE光接口（16～27） 接口编号为GE0/0/16～GE0/0/27。 10GE光接口（0～3） 接口编号为10GE0/0/0～10GE0/0/3。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表8 USG6000F-E01指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG6000F-Sxx USG6000F-Sxx的介绍以USG6000F-S150为例，其他机型与USG6000F-S150存在少许差异，具体请参见《HiSecEngine USG6000F-S系列 硬件指南》。 图5 USG6000F-S150外观和辅料 表9 USG6000F-S150业务口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 接口编号为GE0/0/0～GE0/0/7。 10GE光接口（0～1） 接口编号为10GE0/0/0～10GE0/0/1。 GE电接口（8～9） 接口编号为GE0/0/8～GE0/0/9。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表10 USG6000F-S150指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG67xxF USG67xxF的介绍以USG6710F为例，其他机型与USG6710F存在少许差异，具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图3 USG6710F外观和辅料 表5 USG6710F业务口说明 接口名称 描述 100GE/40GE光接口（0～1） 接口编号为100GE0/0/0～100GE0/0/1。 100GE/40GE接口默认工作在100Gbit/s速率模式，在插入40GE光模块时兼容40Gbit/s速率。 25GE/10GE光接口（0～7） 25GE/10GE光接口和100GE/40GE光接口为复用接口，4个25GE/10GE接口与1个100GE/40GE接口对应(25GE/10GE的0～3口，4～7口分别对应100GE/40GE的0口，1口)。 25GE/10GE接口默认工作在10Gbit/s速率模式，接口编号为10GE0/0/0～10GE0/0/7。 40GE光接口（2～3） 接口编号为40GE0/0/2～40GE0/0/3。 10GE光接口（8～15） 接口编号为10GE0/0/8～10GE0/0/15。 10GE/GE光接口（16～27） 接口编号为10GE0/0/16～10GE0/0/27。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表6 USG6710F指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG66xxF USG66xxF的介绍以USG6615F为例，其他机型与USG6615F存在少许差异，具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图2 USG6615F外观和辅料 表3 USG6615F业务口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE0/0/0～GE0/0/7。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求，通过命令combo enable fiber选择使用光接口，或通过命令undo combo enable fiber选择使用电接口。 GE电接口（8～11） 接口编号为GE0/0/8～GE0/0/11。 GE光接口（12～15） 接口编号为GE0/0/12～GE0/0/15。 10GE光接口（0～5） 接口编号为10GE0/0/0～10GE0/0/5。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表4 USG6615F指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG65xxF USG65xxF的介绍以USG6555F为例，其他机型与USG6555F存在少许差异，具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图1 USG6555F外观和辅料 表1 USG6525F业务口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE0/0/0～GE0/0/7。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求，通过命令combo enable fiber选择使用光接口，或通过命令undo combo enable fiber选择使用电接口。 GE电接口（8～9） 接口编号为GE0/0/8～GE0/0/9。 10GE光接口（0～1） 接口编号为10GE0/0/0～10GE0/0/1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表2 USG6525F指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

试用套餐申请说明 智能终端安全服务试用套餐目前仅支持线上申请方式，提供终端防护服务试用版、终端防护服务试用版（PC专业版）、终端防护服务试用版（服务器版）等套餐规格，各试用套餐对应的产品功能分别与PC标准版、PC专业版、Windows Server服务器版一致，操作系统要求请参见表3。 用户需在华为乾坤商城向华为乾坤运营人员进行试用套餐申请，具体操作请参见《服务开通》的“购买与开通服务”章节。 表3 试用套餐规格介绍 套餐名称 套餐规格 操作系统支持 终端防护服务试用版 资产数：100 Windows 7 专业版、旗舰版、企业版 (32/64位) Windows 10（32位/64位） Windows 11（64位） 终端防护服务试用版（PC专业版） 终端防护服务试用版（服务器版） 资产数：20 Windows 7 专业版、旗舰版、企业版 (32/64位) Windows 10（32位/64位） Windows 11（64位） Windows Server 2012 R2及以上（64位） Linux Server版 资产数：10 CentOS 7及以上 RedHat 8及以上 Euler 2.0及以上 Debian 10及以上 SUSE 12/15 Ubuntu16/18/20/22（X86/ARM） Huawei Cloud EulerOS 2.0 标准版（64位） 信创PC版 资产数：10 银河麒麟桌面操作系统V10及以上 统信桌面操作系统V20以上

背景信息 勒索事件是指因勒索软件产生的威胁事件，包括文件篡改、漏洞利用等。 针对勒索事件，云端有如下几种处置方式： 云端智能分析后推荐处置规则，并成功终止进程和隔离相关文件，其状态显示为“处置成功”。 云端智能分析后无法推荐处置规则，由安全运营专家进一步分析后手动下发处置规则，成功终止进程和隔离相关文件，其状态显示为“处置成功”。 云端智能分析和安全运营专家根据现有信息无法处置，需要租户进行人工处置时，其状态显示为“未处置”。 租户需要对“未处置”的勒索事件进行处置，处置方法包括“快速处置”和“标记状态”。 快速处置：使用系统推荐的快速处置方式，租户需核实确认并进行处置下发。处置过程中勒索事件显示为“处置中”，处置成功则返回状态“处置成功”，处置失败则返回状态“处置失败”。 标记状态：租户可手动对勒索事件进行标记，标记后处置状态分别显示为“忽略”、“已人工处置”。 网络隔离：对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”，在隔离终端列表可以执行“恢复”操作。

背景信息 每台终端均有一个黑白名单策略。云端会根据HiSec Endpoint Agent上报的进程信息，与黑白名单策略进行比对，用于判断该终端上是否存在恶意进程，并对相关进程进行管控。 如果进程在白名单中，表示用户认可该进程不存在潜在风险，系统将忽略其可能触发的风险行为，不会再上报给云端进行检测和处置。 如果进程在黑名单中，表示用户不希望该进程继续运行，如果检测到该进程启动，用户可以选择手动处置或开启自动处置功能，系统将在进程启动后自动关闭该进程。

背景信息 病毒文件会产生恶意进程，给终端造成了很大的安全隐患。智能终端安全服务支持对终端上的文件进行检测，筛查出病毒文件。 创建病毒扫描任务，是检测和处置病毒文件的前提。目前支持的病毒扫描任务创建模式为“快速查杀”、“全盘查杀”、“自定义查杀”。 快速查杀：建立节约时间的病毒扫描任务，使用系统默认的查杀策略对终端执行基本的病毒扫描。 全盘查杀：建立对于全磁盘的病毒扫描任务，对终端执行最彻底的病毒扫描。 自定义查杀：根据租户实际需求，使用针对性的查杀策略对终端执行病毒扫描任务。

背景信息 挖矿木马是指因挖矿软件产生的威胁事件，包括恶意 域名 访问、恶意样本创建、恶意IP连接等。 针对挖矿木马，云端有如下几种处置方式： 云端智能分析后推荐处置规则，并成功终止进程和隔离相关文件，其状态显示为“处置成功”。 云端智能分析后无法推荐处置规则，由安全运营专家进一步分析后手动下发处置规则，成功终止进程和隔离相关文件，其状态显示为“处置成功”。 云端智能分析和安全运营专家根据现有信息无法处置，需要租户进行人工处置时，其状态显示为“未处置”。 租户需要对“未处置”的挖矿木马事件进行处置，处置方法包括“快速处置”和“标记状态”。 快速处置：使用系统推荐的快速处置方式，租户需核实确认并进行处置下发。处置过程中挖矿木马事件显示为“处置中”，处置成功则返回状态“处置成功”，处置失败则返回状态“处置失败”。 标记状态：租户可手动对挖矿木马事件进行标记，标记后处置状态分别显示为“忽略”、“已人工处置”。 网络隔离：对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”，在隔离终端列表可以执行“恢复”操作。

什么是智能终端安全服务 随着数字化的不断深入，企业越来越依赖网络通信技术以满足其业务需求，与此同时，企业面临的网络安全风险也越来越大。由于人的行为具有不确定性，电脑、服务器等终端作为直接与人交互的装置，面临更多的安全风险，往往是整个网络安全防护流程中最薄弱的环节。近年来，针对终端的攻击行为层出不穷，攻击者不仅可以从外部入侵，还可以直接从企业内部发起攻击，导致终端感染甚至威胁扩散，造成企业重大经济损失。 企业终端安全面临着严峻的挑战，是网络安全建设的重点关注对象。 终端信息无法统筹，管理难 传统终端安全产品主要着眼于单点终端上的病毒查杀，因为缺乏对终端信息的集中收集和分析，管理员无法统筹管理企业终端资产，全面识别系统漏洞。对于终端数量庞大的企业来说，此弊端尤为明显，容易导致企业终端被黑客或恶意竞争者攻击，造成企业关键数据泄露或业务中断。 未知威胁不断涌现，应对难 随着威胁手段和攻击技术的不断提高，企业频频遭受未知威胁攻击，例如无文件攻击、勒索变种、高级持续性威胁等。然而传统安全产品仅采用威胁特征库匹配技术，只能识别已知威胁，无法有效应对不断涌现的新型威胁。 威胁事件无法溯源，分析难 传统终端安全产品忽视攻击路径分析，无法对威胁事件进行事后溯源，企业不能感知威胁事件发生的原因和过程。因此，管理员无法根据威胁发生原因制定对应的防御策略，不能从根本上阻断威胁，导致同类威胁事件重复发生。 传统终端安全产品无法解决终端管理难、未知威胁应对难、溯源分析难等问题，华为乾坤在深入分析终端安全建设困境后，推出了智能终端安全服务。 智能终端安全服务是针对企业本地终端进行风险检测和处置，防止终端感染和威胁在内网传播的一种服务。它采用云、端协同架构，由云端和安装在终端侧的HiSec Endpoint Agent组成，如图1所示。 图1 智能终端安全服务架构图 云端提供资产管理、威胁检测和溯源处置功能，具体内容如下。 资产管理：提供自动化终端资产清点能力，统筹管理终端信息并进行多维资产风险评估，实时感知资产状态。 威胁检测：提供终端全攻击路径威胁检测能力，对检出的风险进行自动阻断。 溯源处置：提供攻击可视化能力，对威胁事件进行精确的溯源分析，支撑威胁事件深度清理。 HiSec Endpoint Agent需要安装到企业内网的每一台终端上，主要负责收集并上报终端上的租户登录、进程运行/创建、目录/文件访问日志、DNS（Domain Name System，域名系统）请求信息，并执行云端下发的指令和预置的主动防御策略。 父主题： 产品介绍

背景信息 租户在首次购买和开通智能终端安全服务后，或企业内部新增大量终端资产的情况下，需要批量安装HiSec Endpoint Agent。如果都采用本地安装，HiSec Endpoint Agent安装效率低，严重影响企业业务的正常运行。为了满足批量安装场景，提高运营效率，智能终端安全服务提供HiSec Endpoint Agent批量安装功能，租户管理员可通过邮件发送或域控的方式将HiSec Endpoint Agent部署在每一台待管理终端上。

背景信息 华为乾坤根据设备提供的日志判断威胁事件的检测类型，如果检测类型为AV/CDE，则此威胁事件被识别为恶意文件。 如果设备检测到恶意文件时已拦截，则恶意文件事件的状态为“已拦截”，如果设备检测到恶意文件时未拦截，则恶意文件事件的状态为“未处置”。 针对“已拦截”、“未处置”的恶意文件，华为乾坤可以向租户发送短信和邮件告警通知租户或者下发IP黑名单。 租户需要对“未处置”的恶意文件进行处置，处置后将其状态标记为“已人工处置”或“已忽略”。

后续处理 您可以单击恶意文件列表中的事件名称，查看此恶意文件详情页面。 图2 恶意文件列表 恶意文件详情页面包含处置建议、处置记录、威胁分析等。 若租户同时购买智能终端安全服务，并检测到终端资产存在恶意文件，可以在详情页面的“处置建议”区域进行处置。 华为乾坤对恶意文件取证后，将资产信息和文件信息发送到对应终端Agent，Agent根据文件HASH快速查找文件路径，租户可选择将恶意文件隔离或删除。 图3 恶意文件详情页面 恶意文件详情界面中的事件名称以及恶意文件详情可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。

场景说明 边界防护与响应服务、 漏洞扫描服务 、 云日志 审计服务支持配套USG6000F防火墙。 本文介绍USG6000F防火墙的上线操作，以及边界防护与响应服务、 漏洞扫描 服务、云日志审计服务所需的配置。 各服务配套的设备如表1所示。 表1 配套设备 服务 配套的防火墙型号 边界防护与响应服务 防火墙USG63xxF：USG6303F/USG6306F/USG6307F-D/USG6308F/USG6311F-D/USG6315F/USG6325F/USG6331F-D/USG6355F 防火墙USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6585F-B/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL 防火墙USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K 防火墙USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 防火墙USG6000F-Exx：USG6000F-E01/USG6000F-E03/USG6000F-E05/USG6000F-E07/USG6000F-E09/USG6000F-E12/USG6000F-E15/USG6000F-E20 防火墙USG6000F-Sxx：USG6000F-S30/S50/S150/S160/S180/S200/S230/S260 漏洞扫描服务 防火墙USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL 防火墙USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K 防火墙USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 云日志审计服务 防火墙USG65xxF：USG6525F/USG6555F/USG6565F/USG6585F/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL 防火墙USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K 防火墙USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 父主题： USG6000F防火墙上线

背景信息 当病毒扫描任务执行完成后，检出的病毒文件均不被自动处置，状态显示为“未处置”。租户需要在“防病毒中心”对检出的病毒文件进行人工处置，处置方法包括处置方法包括“快速处置”和“标记状态”。 快速处置：使用系统推荐的快速处置方式，租户需核实确认并进行处置下发。处置过程中病毒文件事件显示为“处置中”，处置成功则返回状态“处置成功”，处置失败则返回状态“处置失败”。 标记状态：租户可手动对病毒文件事件进行标记，标记后处置状态分别显示为“忽略”、“已人工处置”。 此外，租户还可通过“威胁分析”获得与该病毒文件有关的威胁信息。

如何校验HiSec Endpoint Agent数字证书的合法性 数字签名基于密码学原理，用于确保软件来自软件发布者，且在发行后不被更改。HiSec Endpoint Agent使用数字签名保障文件完整性，数字证书用于确保数字签名生效。计算机系统会通过访问以下域名，自动校验数字证书的合法性。 globalsign.com microsoft.com sectigo.com usertrust.com 您也可以通过如下步骤手动校验数字证书合法性 。 在HiSec Endpoint Agent安装路径中找到qiankunEDR-HiSec Endpoint Agent.exe文件，并查看其属性。 图1 HiSec Endpoint Agent.exe属性 单击“数字签名”，选中“签名列表”中的签名。 单击“详细信息”。 图2 数字签名详细信息 单击“查看证书”。 在“详细信息”中查看相关链接。 图3 数字证书详细信息 访问链接校验数字证书的合法性。 父主题： FAQ

后续处理 在“扫描任务”界面中，针对某一个历史扫描任务，您还可以做如下操作： 停止任务 您可以单击操作栏中的“停止”按钮，将扫描任务取消。仅“扫描状态”为“扫描中”的扫描任务支持此项功能。 删除任务 您可以单击操作栏中的“删除”按钮，将扫描任务删除。“扫描状态”为“扫描中”的扫描任务不支持此项功能。 重新扫描 您可以单击操作栏中的“扫描”按钮，重新执行扫描任务。定时扫描任务不支持此项功能。 下载报告 您可以单击“任务详情”页面中的“打印报告”按钮，下载扫描任务报告。“扫描状态”为“扫描成功”、“部分成功”、“已取消”的扫描任务均支持此项功能，报告仅包含任务中已完成扫描资产的漏洞信息。 若您已订阅“漏洞扫描任务结束通知”，在漏洞扫描任务执行完成后，云端会将扫描结果通过邮件发送到您指定的邮箱；若您没有添加该主题订阅，将不会收到相关通知。

安装HiSec Endpoint Agent HiSec Endpoint Agent主要负责收集并上报终端上的租户登录、进程运行/创建、目录/文件访问日志、DNS请求信息，并执行云端下发的指令和预置的主动防御策略。每一台使用智能终端安全服务的设备均需要安装HiSec Endpoint Agent，智能终端安全服务提供本地安装和批量安装两种方式。 本地安装：仅用于适用于单点安装HiSec Endpoint Agent的场景。 批量安装：适用于大量终端资产均需安装HiSec Endpoint Agent的场景。 本地安装 批量安装 父主题： 部署指南

背景信息 高级威胁事件是指因终端上的恶意进程产生的威胁事件，包括异常登录、暴力破解、异常事件等非法入侵行为。 针对高级威胁事件，云端有如下几种处置方式： 云端智能分析后推荐处置规则，并成功终止进程和隔离相关文件，其状态显示为“处置成功”。 云端智能分析后无法推荐处置规则，由安全运营专家进一步分析后手动下发处置规则，成功终止进程和隔离相关文件，其状态显示为“处置成功”。 云端智能分析和安全运营专家根据现有信息无法处置，需要租户进行人工处置时，其状态显示为“未处置”。 租户需要对“未处置”的高级威胁事件进行处置，处置方法包括“快速处置”和“标记状态”。 快速处置：使用系统推荐的快速处置方式，租户需核实确认并进行处置下发。处置过程中高级威胁事件显示为“处置中”，处置成功则返回状态“处置成功”，处置失败则返回状态“处置失败”。 标记状态：租户可手动对高级威胁事件进行标记，标记后处置状态分别显示为“忽略”、“已人工处置”。 网络隔离：对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”，在隔离终端列表可以执行“恢复”操作。

背景信息 智能终端安全服务每月出具一份安全报告，内容涵盖异常终端统计、威胁事件统计等，方便用户了解自己资产的安全状况。订阅终端防护安全月报后，用户每月将以邮件形式收到相应的安全报告。 对于高风险事件，用户在订阅相关主题后，智能终端安全服务将提供即时短信通知功能。为提供良好的用户体验，短信通知遵循以下规则： 同一个资产产生的同一类威胁事件，在规定时间间隔内仅推送一次。 同一个资产每天最多发送3条威胁事件告警短信；超出限额后，用户将收到1条资产级别的防轰炸提醒短信。 同一个租户每天最多发送10条威胁事件告警短信（包含资产级别的防轰炸短信）；超出限额后，用户将收到1条租户级别的防轰炸提醒短信。

操作步骤 选择目标应用，单击图标，单击“编辑”，进入“部署步骤”页面。 单击“参数设置”，切换到“参数设置”页面。 编辑参数 可对已有参数的参数名称、类型、默认值、私密参数、运行时设置、描述进行编辑。并可通过单击图标，拖拽参数行，移动参数顺序。 新增参数 单击“新建参数”，可在已有参数的基础上新增参数。同样单击参数操作列的图标，可在当前参数下方，新增一行参数并设置。 删除参数 单击图标，可对已有参数进行删除。 关于参数的具体操作及说明，请参考参数管理。 修改完所有信息，单击“保存”，保存该应用。