核心文件监控用于监测主机核心文件的异常读取与修改行为,支持通过规则配置实现告警或放行,并在告警列表中完成研判与处置。
限制说明
主机操作系统:核心文件监控目前仅支持内核版本 ≥ 3.10的 Linux 主机。
主机安全防护版本:使用核心文件监控功能,主机须先绑定旗舰版授权,可在 主机安全购买页 中购买和绑定。
操作步骤
1. 登录 主机安全控制台,在左侧导航栏选择高级防御 > 核心文件监控。
2. 在核心文件监控页面,可切换告警列表和监控规则配置两个页签,页面顶部可查看功能操作指引和功能介绍。
3. 单击监控规则配置,在规则列表中新增规则,并对自定义规则进行编辑、复制、删除与启停管理。
字段说明:
规则名称:规则的名称标识。
规则类型:系统规则或自定义规则。
威胁等级:高危、中危、低危、无。
规则内容:读取文件、修改文件等规则匹配条件。
生效主机:规则生效的服务器范围。
创建时间:规则创建时间。
最近编辑时间:规则最近一次编辑时间。
开启状态:当前规则是否启用。
操作:编辑、复制、删除。
4. 单击新增规则,配置规则基础信息、规则内容、生效主机范围,保存后规则创建成功;启用状态为开启时规则生效。
基础信息:配置规则名称、威胁等级、启用状态。
规则内容设置:配置监控行为、进程路径、进程命令行、文件路径和执行动作(告警/放行);支持按需添加多条规则内容。
生效主机范围:全部旗舰版主机或自选主机。
说明:
当告警规则与放行规则命中条件一致,且生效主机范围有重叠时,重叠主机优先按放行处理,不产生告警。
创建白名单规则:通常通过新增规则并将威胁等级设置为无、执行动作设置为放行实现。
5. 单击告警列表,可查看核心文件监控告警,并对告警进行详情查看和处理。
字段说明:
主机名称/实例 ID:触发告警的主机。
IP 地址:主机内网/公网 IP。
规则类型:系统规则、自定义规则。
命中规则:触发本次告警的规则名称。
威胁等级:高危、中危、低危、无。
威胁行为:读取文件、修改文件或读取、修改文件。
告警描述:告警摘要信息。
首次发生时间:该告警首次触发时间。
最近发生时间:该告警最近一次触发时间。
告警数量:该告警累计触发次数。
处理状态:待处理、已加白、已忽略、已处理。
操作:
详情:进入告警详情页查看告警详情、进程树等信息。
处理:标记已处理、加入白名单、忽略、删除记录。
