本文档将为您介绍如何查看并操作恶意请求告警列表及策略配置。
背景信息
恶意请求功能提供对外界请求行为进行实时监控及处理的能力,有效识别恶意请求行为。若主机向恶意域名发起请求会被识别并记录,检测到此类恶意请求行为,系统会为您提供实时告警。
限制说明
- 恶意请求监测支持专业版、旗舰版主机。
- 恶意请求拦截仅支持 Linux 系统的旗舰版主机,且仅支持拦截服务器做 DNS 查询,不支持拦截流量上的转发。
告警列表
- 登录主机安全租户端控制台,在左侧导航栏中,选择【入侵检测】 > 【恶意请求】,进入恶意请求页面。
- 在恶意请求页面,可查看恶意请求告警列表,并进行相关操作。
- 筛选:支持按命中策略类型、状态、最近请求时间、搜索框输入主机名称、实例 ID、IP 地址、恶意请求域名进行筛选。
- 自定义展示列:单击
,可设置告警列表展示字段。 - 导出:单击
,可导出告警列表详细信息。 - 字段说明:
- 主机名称/实例 ID:对恶意域名发起请求的主机名称及实例 ID
- IP 地址:对恶意域名发起请求的主机IP
- 命中策略类型:
- 系统策略:系统策略为主机安全运营专家与算法专家经过多模型的规则配置,适用于大部分的恶意请求检测。
- 用户自定义策略:用户根据业务情况对相关域名设置告警/拦截/放行动作。
- 命中策略:主机请求恶意域名所命中的策略名称。
- 恶意请求域名:域名或IP 地址
- 请求次数:主机请求次数
- 危害描述:请求该恶意域名可能造成的危害。
- 最近请求时间:最近一次请求该恶意域名的时间。
- 状态:待处理、已加白、已处理、已忽略、已拦截。
- 详情:可查看该恶意请求事件的详细情况,含风险主机信息、恶意请求详情、危险描述、修复建议。
,可设置告警列表展示字段。
,可导出告警列表详细信息。
- 处理:标记已处理、加入白名单、创建拦截策略、忽略、删除记录。
策略配置
管理策略
在恶意请求页面上方选择【策略配置】,进入策略配置页面。
- 筛选:支持按策略类型、执行动作、生效状态、关键字进行筛选。
- 自定义展示列:单击
,可设置策略列表展示字段。 - 导出:单击
,可导出策略列表的详细信息。 - 字段说明:
- 策略名称:系统策略固定名称,分别为:系统规则(重保)、系统规则(标准);用户自定义策略则为用户所设置的策略名称。
- 策略类型:系统策略、用户自定义策略。
- 黑/白名单:该策略属于白名单/黑名单。
- 域名详情:IP/域名或泛域名。
- 生效主机:该策略生效的主机范围。
- 更新时间:最近一次更新策略的时间。
- 执行动作:请求访问域名时命中策略将自动执行的动作(放行/告警/拦截)。
- 生效状态:策略是否生效。
- 编辑:对策略进行编辑。
- 删除:删除该策略。
- 创建策略:
- 黑名单:当主机请求了黑名单中的域名,将执行告警/拦截动作。
- 白名单:当主机请求了白名单中的域名,将执行放行动作。
,可设置策略列表展示字段。
,可导出策略列表的详细信息。
注意:
- 系统策略是内置策略,不支持新增、编辑和删除,仅支持开关。
- 系统策略(标准)建议保持开启状态,系统策略(重保)建议在重保期间按需开启。
- 用户自定义策略中,拦截策略仅对旗舰版主机生效。