本文档将为您介绍如何查看并操作高危命令告警列表。
背景信息
基于腾讯云安全技术及多维度多种手段,主机安全可对系统中的命令实时监控,若检测出高危命令,系统会向您提供实时告警通知。此外还可配置策略,对威胁命令进行危险程度的标记并执行相应动作。
前提条件
告警列表
1. 登录 主机安全控制台,在左侧导航栏,选择入侵检测 > 高危命令,进入高危命令的告警列表标签页。
2. 在高危命令的告警列表标签页,可查看高危命令告警列表,并进行相关操作。列表界面可展示发生高危命令告警的主机名称/实例 ID、IP 地址、命中策略类型、命中策略、威胁等级、命令内容、登录用户、PID、进程、数据来源、发生时间、处理时间、状态及操作共计14个字段,展示列表字段可进行自定义。
筛选:高危命令事件列表支持选择日期查看相应的告警信息,支持按关键字及标签查询(多个关键字用竖线 “|” 分隔,多个过滤标签用回车键分隔)事件,同时支持按命中策略类型、威胁等级、数据来源及状态筛选告警信息。
自定义列表字段:在高危命令告警列表上方,单击
,可设置列表展示字段,选择完成后,单击确定,即可设置成功。
告警列表导出:在高危命令告警列表上方,单击
,可将列表信息导出。详情 > 告警详情:单击详情,可查看高危命令告警详情页。
详情 > 进程树:在高危命令告警详情页,选择进程树标签页,可查看以时间倒序排列的三个进程详情。
详情 > 事件调查:在高危命令告警列表的右侧操作栏,单击详情选择事件调查标签页,可进入对应主机列表的 事件调查。
说明
Windows 机器暂不支持事件调查功能。
仅旗舰版支持事件调查功能。
标记已处理:单击处理 > 标记已处理 ,若用户已手动处理了本次高危命令告警,可将该告警标记为已处理。
加入白名单:单击处理 > 加入白名单 ,可对信任的命令加入白名单,后续该命令再被执行将不再产生告警或拦截。
创建拦截策略:单击处理 > 创建拦截策略,可对威胁命令进行自动拦截,并产生拦截记录。
说明
忽略:支持单选或多选高危命令告警信息,仅将本次选中的告警进行忽略,若再有相同情况发生依然会进行告警。
删除记录:支持单选或多选高危命令告警信息,删除选中的告警记录。
策略配置
创建自定义策略
高危命令功能支持创建自定义策略,通过设置策略对威胁命令进行相应的处理行为。
1. 登录 主机安全控制台 ,在左侧导航栏选择入侵检测 > 高危命令,进入高危命令页面。
2. 选择策略配置 > 创建策略,进入创建策略页面。
3. 在创建策略页面,填写策略的基本信息,包括策略名称、策略描述和启用状态。
4. 填写策略详情,包括选择黑名单/白名单及其对应的执行动作,填写正则表达式,选择威胁等级,选择生效主机范围。
黑名单规则,指发现主机存在威胁命令时将产生告警通知。
白名单规则,指对威胁命令进行放行,不再产生告警或拦截行为。
说明
若生效主机范围选择全部专业版和旗舰版主机,新增专业版/旗舰版主机时,将自动加入策略生效范围。
可勾选对符合本策略规则的历史“待处理”告警,执行本策略规则的操作。
5. 设置完成后,可在策略列表查看,列表中应用于黑名单的策略会被标记为相应的威胁等级。
6. 在策略列表中可对策略进行筛选、编辑和删除等操作。
字段说明:
筛选:已配置的策略支持按关键字及标签查询(多个关键字用竖线 “|” 分隔,多个过滤标签用回车键分隔)筛选,支持按威胁等级(全部/高危/中危/低危/无),支持按执行动作(告警/拦截/放行),支持按生效状态(已生效/未生效)进行筛选。
自定义设置列表字段:在策略列表上方,单击
,可设置列表展示字段,选择完成后,单击确定,即可设置成功。启用状态:列表支持设置策略的启用状态,可在启用状态列,单击启用开关,决定该策略是否启用。
编辑:在策略列表的右侧操作栏,单击编辑,可对已创建的策略进行编辑。
删除:在策略列表中,支持对已配置的策略进行删除。
系统策略
高危命令功能新增系统自动拦截规则,开启后,支持自动拦截检测出的系统高危命令,部分内容仍需您手动配置策略。
系统高危命令:主机安全运营专家与算法专家经过沉淀的系统高危命令,此名单中的高危命令可进行自动拦截。
拦截原理说明:高危命令自动拦截采用查杀命中规则的进程的方式,例如,如果进程 A 尝试创建一个"/bin/bash -i"进程(假设"bash -i"已被列入黑名单),那么这个尝试创建的"/bin/bash"进程将会被终止(或创建失败),而进程 A 本身不会受到影响。
1. 登录 主机安全控制台 ,在左侧导航栏选择入侵检测 > 高危命令,进入高危命令页面。
2. 在高危命令页面,支持如下两种方式开启系统自动拦截规则。
在策略配置页面,单击系统自动拦截规则策略右侧的生效状态开关。执行动作列,可切换选择标准模式拦截或重保模式拦截。
标准模式:综合多个引擎检测结果,仅针对高置信度的风险进行自动防护,更适合日常安全运营使用。
重保模式:综合多个引擎检测结果,针对中、高置信度的风险进行自动防护。可能存在误拦截风险,适合重保防护,请谨慎启用。
在告警列表页面,单击开启高危命令自动拦截开关。