异常基线列表
1. 登录 云安全中心控制台,在左侧导览中,单击 DNS 威胁监测。
2. 在 DNS 威胁监测 > 告警列表 > 异常基线中,查看偏离基线的请求行为(请求内容:主机信息、请求域名),处理状态等。
说明:
列表数据聚合逻辑:一天内同一账号下,同一主机请求同一域名聚合为一条数据。
字段名 | 示例 | 说明 |
请求主机 ID/名称 | ins-xxx 主机 A | 发起请求的主机,单击新开页面进入主机资产详情 |
IP 地址 | 公网:x.x.x.x 内网:x.x.x.x | 发起请求主机的公网与内网 IP 地址 |
请求域名 | xxx.com | 主机请求的域名 |
DNS 解析数 | - | 单击跳转日志分析,筛选对应日志 |
恶意请求告警 | - | 该偏离基线行为是否命中情报 |
首次/最近请求时间 | 2025-01-01 18:00:00 2025-01-12 18:00:00 | 格式:YYYY-MM-DD HH:MM:SS 支持排序 |
处理状态 | 未处理 已处置 已忽略 | 展示告警处理状态,手动完成标记,处理状态支持筛选 |
3. 在异常基线列表中,选择所需请求,单击详情/更多。
操作类型 | 说明 | |
详情 | | |
更多 | 加入行为基线策略 | 单击打开加入行为基线策略弹窗,并填充对应内容。加入后当发生行为基线策略范围外的请求时,产生异常基线告警。 |
| 标记处置 | 单击后处理状态变为“已处置”。 |
| 标记忽略 | 单击后处理状态变为“已忽略”。 |
| 创建告警策略 | 单击拉起添加策略-恶意请求抽屉,并填充生效主机、生效域名。添加后若命中该策略将产生恶意请求告警。 |
异常基线详情
在请求详情抽屉页面,查看请求信息、请求详情与关联异常情况。
查看请求基本信息。
查看请求详情:查看哪些主机访问了指定域名,并提供主机的详细信息。要获取进程、命令行、MD5等更多信息,请升级至主机安全 专业版或旗舰版。
查看关联异常:查看恶意请求、异常基线的告警关联情况及其命中策略。
