核心文件监控

核心文件监控的监控规则分为系统规则和自定义规则。系统规则为主机安全运营专家与算法专家经过多模型沉淀的规则配置，适用于大部分的篡改用户配置监控需求，您也可以根据业务需要自定义规则，自定义规则支持编辑、复制和删除。

说明：

• 核心文件监控属于主机安全旗舰版功能。
• 核心文件监控目前支持 Linux 内核版本为3.10及以上的操作系统。

新建规则

1. 登录主机安全租户端控制台，在左侧导航栏中，选择【入侵防御】 >【核心文件监控】。
2. 在【监控规则配置】页面中，单击左上角处的【新增规则】，右侧弹出新增规则弹窗。
3. 在新增规则弹窗中，依次配置基础设置、规则内容设置和生效服务器范围参数。

• 基础设置

  

  • 复制
    复制成功

      字段说明：
  

  • 规则名称：自定义名称。
  • 威胁等级：根据实际需求可选择高危、中危、低危或无。
  • 启用状态：可启用或不启用该新增规则。

• 规则内容设置：单击【添加规则】，可添加多行，最大添加20行。

  字段说明：

- 监控行为：修改文件/读取文件。  
- 进程路径：文件篡改动作发起的进程文件路径，例如程序 /usr/bin/vi，对应规则可以是 */vi。
- 文件路径：例如 /etc/cron.d/attack 对应规则可以是 /etc/cron.d/*。
- 执行动作：告警指的是对文件系统变化产生自动告警事件，记录事件详情；放行指的是对文件系统变化产生事件进行放行操作，记录事件详情。
     
     > **说明：**
     > 
     > 当告警放行进程路径及被访问文件一致，且生效服务器有重叠，重叠部分服务器不产生告警（即优先以放行条件为准）。
     > 

• 生效主机范围：可根据实际需求选择全部服务器或自选服务器。

4. 配置完成后，单击【保存】即可。

管理规则

编辑规则

1. 在【核心文件监控】>【监控规则配置】中展示了已新增的规则，操作列支持【复制】【编辑】【删除】。

   

   注意：

   删除后，规则将无法恢复，请谨慎操作。

告警列表

告警列表支持查看核心文件异常告警记录，可对告警记录进行处理（标记已处理、加入白名单、忽略），也可对告警记录进行删除。

处理告警记录

1. 登录主机安全租户端控制台，在左侧导航栏中，选择【入侵防御】 > 【核心文件监控】。

2. 在【告警列表】页面，选择所需告警记录，单击【处理】，选择标记已处理、加入白名单、忽略或删除记录。

   

   字段说明：

• 标记已处理：人工对该告警进行处理，处理后可将告警标记为已处理。
• 加入白名单：将当前文件路径加入白名单，后续有对应读取/修改行为将不再产生告警，请谨慎操作。
• 忽略：仅将本次告警进行忽略，若再有相同情况发生仍然会进行告警。
• 删除记录：删除该告警记录，控制台将不再显示，无法恢复记录，请慎重操作。

删除告警记录

1. 在【告警列表】页面，支持单个删除告警记录或批量删除告警记录。

• 单个：选择所需告警记录，单击【删除】，弹出确认删除对话框。

  

• 批量：选择一个或多个告警记录，单击左上角的【删除】，弹出确认删除对话框。

2. 在确认删除对话框中，单击【确定】，即可删除所选告警记录。

   说明：

   删除的告警记录，控制台将不再显示，无法恢复记录，请慎重操作。