作为一名网络安全管理员，遭遇黑客攻击并不可怕，可怕的是你没有发现攻击。
更可怕的是，你领导的领导告诉你的领导你有主机失陷了（绕口令感受一下）。
而*可怕的是，失陷主机找不到，威胁进程定位不到，领导还每天都问进展……
这不是耸人听闻，而是许多企业，尤其是中小型企业及大型企业分支机构的现状。尽管可能部署了包括防火墙、HIDS、NDR与杀软等一系列安全产品，但因为攻击技术的快速迭代，恶意软件总能绕过、免杀并与C2通信。
以今年“大出风头”的银狐系列工具为例，下图展示了某个银狐变种样本执行后的执行逻辑（部分）：

银狐某变种样本被执行后，使用了白利用、创建计划任务、重命名等多种隐藏对抗手段来对抗杀软。事实证明，银狐的这些手段*有效，对很多杀软都实现了“免杀”。如果杀软连检出都做不到，定位清除自然也就无从谈起。
除杀软以外，企业通常也会部署防火墙、HIDS、NDR等安全设备来增强对网络攻击的发现识别能力，但现实总是残酷的，除徒增成本之外，在应对以银狐为代表的新型威胁时，其效果通常也不能达到预期。以流量检测为例，仅加密通信这一点就能难倒一大批“英雄好汉”。同时，对于很多中小企业、大型企业的分公司/分支机构而言，专业安全运营人员不足也是导致其网络安全运营低效的主要因素之一。
面对以银狐为代表的新型威胁时，大多数企业的困境并非是找不到解决方案，而是找不到在可接受成本范围内实现有效应对的解决方案。而这正是微步推出OneDNS的初衷：为企业提供*性价比的办公安全解决方案。
上一篇文章介绍了OneDNS如何通过拦截恶意反连来阻断攻击（点击蓝字回看上一篇），本文将介绍OneDNS如何定位失陷主机与威胁进程，从而简化安全管理员的威胁处置与清除工作复杂度，以此实现安全闭环，有效提升企业整体网络安全水平。

定位失陷主机

当部署OneDNS之后，企业内所有的DNS请求均会由OneDNS解析，当OneDNS发现恶意反连之后会自动拦截，以阻断网络攻击；同时用免费为用户提供的虚拟转发器（简称VA）这个轻量级小插件来定位失陷主机或终端。
虚拟转发器既可以直接部署在企业的本地DNS服务器上，也可以安装在一台单独的虚机上，通过分析DNS流量或DNS日志，实现对企业内网中失陷主机/终端的定位。

上图展示了利用OneDNS实现安全闭环的完整过程：
1.云端OneDNS拦截恶意反连阻断攻击的同时，会通过虚拟转发器定位失陷主机/终端，利用轻量级Agent锁定威胁进程；

2.OneDNS会将包括失陷主机/终端IP、威胁进程、文件目录与反连地址等与威胁事件相关的信息在同一页面展示，安全运营人员只需鼠标点击，即可下发中止进程、隔离文件等策略进行处置，秒级生效。

这不仅大幅缩短了企业研判处置流程，还极其有效地实现了安全闭环。
在完成威胁事件的闭环处置之后，我们通常还会思考这样一个问题：恶意软件是如何进入主机或终端的？
当你想知道这个问题的答案时，只需在OneDNS控制台中，选择升级到OneSEC即可。同样都是云端SaaS服务，只需更新控制台，就能实现从OneDNS到OneSEC无缝升级，而无需更换 Agent与VA。OneSEC拥有更强劲的算力与更丰富的功能，利用IOA行为引擎、图检测引擎、云哈希引擎等，仅需数秒就可完成对安全事件的全链路溯源。

网络流量检测的威胁感知平台TDP、主机威胁检测与响应平台OneEDR、互联网安全接入服务OneDNS、安全情报网关OneSIG、终端安全管理平台OneSEC，以及威胁情报管理平台TIP等产品，能够全面提升威胁检测与防护的“精准能力”。
微步也具备*的技术专家团队提供专业安全服务。涵盖红队评估、攻防演练、溯源分析、攻击面梳理、渗透测试、应急响应、托管检测与响应等6大安全服务类别，14大安全服务项。