本文档将为您介绍如何查看并操作高危命令告警列表。
背景信息
基于腾讯云安全技术及多维度多种手段,主机安全可对系统中的命令实时监控,若检测出高危命令,系统会向您提供实时告警通知。此外还可配置策略,对威胁命令进行危险程度的标记并执行相应动作。
前提条件
告警列表
1. 登录 主机安全控制台,在左侧导航栏,选择入侵检测 > 高危命令,进入高危命令的告警列表标签页。
2. 在高危命令的告警列表标签页,可查看高危命令告警列表,并进行相关操作。列表界面可展示发生高危命令告警的主机名称/实例 ID、IP 地址、命中策略类型、命中策略、威胁等级、命令内容、登录用户、PID、进程、数据来源、发生时间、处理时间、状态及操作共计14个字段,展示列表字段可进行自定义。
筛选:高危命令事件列表支持选择日期查看相应的告警信息,支持按关键字及标签查询(多个关键字用竖线 “|” 分隔,多个过滤标签用回车键分隔)事件,同时支持按命中策略类型、威胁等级、数据来源及状态筛选告警信息。
自定义列表字段:在高危命令告警列表上方,单击
告警列表导出:在高危命令告警列表上方,单击
3. 在告警列表中,可查看详情并进行告警处理。
详情:单击告警列表操作列的详情,可查看高危命令的告警详情、事件调查和 AI 告警分析。
处理:单击告警列表操作列的处理,可对当前告警进行标记已处理、加入白名单、创建自定义拦截策略、忽略、删除记录操作。
标记已处理:建议您参照告警详情中的“修复建议”,人工对该告警进行处理,处理后可将告警标记为已处理。
加入白名单:对告警的命令加入白名单操作后,当再次发生相同情况时将不再进行告警,同时当前告警状态将变更为“已加白”。
创建自定义拦截策略:对当前告警创建拦截策略,当再次发生相同攻击时将为您进行自动拦截。
说明:
忽略:仅将本次告警进行忽略,若再有相同情况发生依然会进行告警。
删除记录:删除该告警记录,控制台将不再显示,无法恢复记录,请慎重操作。
策略配置
创建自定义策略
高危命令功能支持创建自定义策略,通过设置策略对威胁命令进行相应的处理行为。
1. 登录 主机安全控制台 ,在左侧导航栏选择入侵检测 > 高危命令,进入高危命令页面。
2. 选择策略配置 > 创建策略,进入创建策略页面。
3. 在创建策略页面,填写策略的基本信息,包括策略名称、策略描述和启用状态。
4. 填写策略详情,包括选择黑名单/白名单及其对应的执行动作,填写正则表达式,选择威胁等级,选择生效主机范围。
黑名单规则,指发现主机存在威胁命令时将产生告警通知。
白名单规则,指对威胁命令进行放行,不再产生告警或拦截行为。
说明
若生效主机范围选择全部专业版和旗舰版主机,新增专业版/旗舰版主机时,将自动加入策略生效范围。
可勾选对符合本策略规则的历史“待处理”告警,执行本策略规则的操作。
5. 设置完成后,可在策略列表查看,列表中应用于黑名单的策略会被标记为相应的威胁等级。
6. 在策略列表中可对策略进行筛选、编辑和删除等操作。
字段说明:
筛选:已配置的策略支持按关键字及标签查询(多个关键字用竖线 “|” 分隔,多个过滤标签用回车键分隔)筛选,支持按威胁等级(全部/高危/中危/低危/无),支持按执行动作(告警/拦截/放行),支持按生效状态(已生效/未生效)进行筛选。
自定义设置列表字段:在策略列表上方,单击
启用状态:列表支持设置策略的启用状态,可在启用状态列,单击启用开关,决定该策略是否启用。
编辑:在策略列表的右侧操作栏,单击编辑,可对已创建的策略进行编辑。
删除:在策略列表中,支持对已配置的策略进行删除。
系统策略
高危命令功能新增系统自动拦截规则,开启后,支持自动拦截检测出的系统高危命令,部分内容仍需您手动配置策略。
系统高危命令:主机安全运营专家与算法专家经过沉淀的系统高危命令,此名单中的高危命令可进行自动拦截。
拦截原理说明:高危命令自动拦截采用查杀命中规则的进程的方式,例如,如果进程 A 尝试创建一个"/bin/bash -i"进程(假设"bash -i"已被列入黑名单),那么这个尝试创建的"/bin/bash"进程将会被终止(或创建失败),而进程 A 本身不会受到影响。
1. 登录 主机安全控制台 ,在左侧导航栏选择入侵检测 > 高危命令,进入高危命令页面。
2. 在高危命令页面,支持如下两种方式开启系统自动拦截规则。
在策略配置页面,单击系统自动拦截规则策略右侧的生效状态开关。执行动作列,可切换选择标准模式拦截或重保模式拦截。
标准模式:综合多个引擎检测结果,仅针对高置信度的风险进行自动防护,更适合日常安全运营使用。
重保模式:综合多个引擎检测结果,针对中、高置信度的风险进行自动防护。可能存在误拦截风险,适合重保防护,请谨慎启用。
在告警列表页面,单击开启高危命令自动拦截开关。
