高危系统调用提供可能存在风险的系统调用行为检测事件列表和白名单管理列表。事件列表展示模块中提供高危系统调用检测结果。
筛选刷新事件列表
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御 > 高危系统调用 > 事件列表,进入事件列表页面。
2. 在事件列表页面,单击搜索框,可通过“进程路径、系统调用名称和容器名称”等关键词对高危系统调用检测事件进行查询。
3. 在事件列表页面,单击操作栏右侧
导出事件列表
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御 > 高危系统调用 > 事件列表,进入事件列表页面。
2. 在事件列表页面,单击
说明:
单击操作栏处
更改事件状态
方式1
在事件列表页面,可对高危系统调用事件进行标记已处理、忽略和删除处理。
标记已处理:单击
说明
建议您参照事件详情中的“解决方案”,人工对该事件风险进行处理,可将事件标记为已处理。
忽略:单击
说明
仅将已选事件进行忽略,若再有相同事件发生依然会进行告警。
删除:单击
注意
删除已选事件记录,控制台将不再显示,无法恢复记录,请慎重操作。
方式2
1. 在事件列表页面,事件状态为待处理时,单击立即处理,可选择将事件状态设置为添加白名单、标记已处理和忽略等。
2. 单击确定或取消,即可完成或取消事件状态更改。
3. 在事件列表页面,事件状态为已忽略时,可单击取消忽略或删除,可将事件取消忽略或删除。
说明
取消忽略后,该事件状态将变更为待处理,需单击确定进行二次确认。
删除该事件记录,控制台将不再显示,无法恢复记录,请慎重操作。
4. 在事件列表页面,事件状态为已处理时,可单击删除,删除该事件。
说明
删除该事件记录,控制台将不再显示,无法恢复记录,请慎重操作。
查看事件详情
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御 > 高危系统调用 > 事件列表,进入事件列表页面。
2. 在事件列表页面,单击进程路径左侧
3. 在事件列表页面,单击查看详情,右侧弹出事件详情页面。
4. 在事件详情页面,展示了事件详情、进程信息、父进程信息和事件描述。并可对该事件进行标记已处理、忽略和加白等操作。
说明
5. 在事件详情页面,单击加白进入新增白名单页面,需确认满足条件(进程路径、系统调用名称)和镜像生效范围。
满足条件:进程路径和系统调用名称,不可更改内容。
镜像生效范围:全部镜像和自选镜像。其中单击所需的自选镜像
说明
支持按住 shift 键进行多选。
6. 选择所需内容后,单击设置或取消,即可完成或取消新增白名单。
自定义列表管理
1. 登录 容器安全服务控制台,在左侧导航中,单击高级防御 > 高危系统调用 > 事件列表,进入事件列表页面。
2. 在事件列表页面,单击
3. 在自定义列表管理弹窗,选择所需的类型后,单击确定,即可完成设置自定义列表管理。
列表重点字段说明
1. 首次生成时间:该系统调用事件首次触发告警的时间。系统默认对未处理的相同告警事件进行聚合。
2. 最近生成时间:聚合的告警事件最近触发告警的时间。可单击右侧排序按钮对列表事件按时间正序和时间反序进行排列。
3. 事件数量:聚合时间范围内该系统调用事件触发告警的总数量。
4. 事件数量:聚合时间范围内该系统调用事件触发告警的总数量。
5. 状态:包括已处理、已忽略、未处理、已加白,支持按状态对列表事件进行快速筛选。
