查看异常行为详情

最近更新时间:2019-08-29 16:08:10

操作场景

异常行为详情用于将 AI 引擎梳理出的堡垒机异常审计日志进行展示。下面将为您详细介绍如何查看异常行为。

操作步骤

  1. 登录腾讯云 堡垒机控制台,并使用管理员账号登录堡垒机。
  2. 在左侧导航中,单击【异常行为详情】,进入异常行为分析页面。在此配置查询条件,您可配置一个或多个查询条件,查询条件说明如下。
    • 会话时间段:查询的时间范围。
    • 员工姓名:输入员工姓名。
    • 客户端 IP:员工本地客户端 IP。
    • 服务端 IP:资源服务器 IP。
    • 操作内容:员工在资源执行的操作。
    • 告警类型:包括“查杀进程”、“主机重启”、“多人共用账号”等其他告警类型。
  3. 在配置查询条件之后,单击【查询】,系统将按照您设定的条件查询出异常行为日志。异常行为日志,展示所有符合查询条件且被 AI 确定为风险的日志详情。其中日志详情提供三个分析工具,用于辅助管理员判断该日志是否确实为高风险操作,分别是 逻辑链上下文异常详情

逻辑链

展示该用户账号的异常日志,一共有几类异常事件,每类异常事件详细的会话信息,用于辅助管理员进行关联分析。树状图最左侧为员工姓名,中间表示异常类型,最右侧为异常会话的时间与相关服务器 IP。
2

上下文

上下文用于展示异常日志前后半小时的日志信息,用于辅助管理员进行时间线的关联分析。如果日志过于新以至于后半小时没有数据,则仅显示已有的信息。

异常详情

异常详情用于展示该异常日志所属异常类型,以及分值最高的异常类型被确诊为异常的原因解释。

  • 异常情况:分值最高的异常类型所体现的具体异常表现。
  • 异常类型:表示该异常日志所属异常类型,如有多种异常类型,则用逗号分隔。
    3