本文档将为您介绍如何查看并操作高危命令事件列表。
背景信息
基于多维度多种手段,主机安全可对系统中的命令实现实时监控,并且可通过配置规则对命令危险程度进行等级划分,若检测出高危命令,系统会向您提供实时告警通知。
操作步骤
告警列表
- 登录主机安全租户端控制台,在左侧导航栏中,选择【入侵检测】>【高危命令】,进入高危命令的告警列表标签页。
- 在高危命令的【告警列表】标签页,可查看高危命令告警列表,并进行相关操作。在告警列表界面可展示发生高危命令告警的主机名称/实例ID、IP地址、命中策略类型、命中策略、威胁等级等信息,列表展示字段可进行自定义。
- 筛选:高危命令告警列表支持选择日期查看,支持按关键字及标签查询(多个关键字用竖线 “|” 分隔,多个过滤标签用回车键分隔)事件,同时支持按威胁等级及状态筛选事件。
- 自定义列表字段:在高危命令事件列表上方,单击
,可设置列表展示字段,选择完成后,单击【确定】,即可设置成功。
,可设置列表展示字段,选择完成后,单击【确定】,即可设置成功。
- 事件列表导出:在高危命令告警列表上方,单击
,可将高危命令告警列表导出。 - 详情:单击【详情】,可查看高危命令告警详情及进程树信息。
,可将高危命令告警列表导出。
- 标记已处理:建议您参照告警详情中的“修复建议”,人工对该告警进行处理,处理后可将告警标记为已处理。
- 加入白名单:对当前告警的域名创建放行策略,当再次发生相同攻击时将不再进行告警,同时当前告警状态将变更为“已加白”。
- 创建拦截策略:对当前告警的域名创建拦截策略,当再次发生相同攻击时将为您进行自动拦截。
- 忽略:仅将本次告警进行忽略,若再有相同情况发生依然会进行告警。
- 删除记录:删除该告警记录,控制台将不再显示,无法恢复记录,请慎重操作。
策略配置
创建自定义策略
高危命令功能支持创建自定义策略,通过设置策略对威胁命令进行相应的处理行为。
登录主机安全租户端控制台 ,在左侧导航栏选择【入侵检测】>【高危命令】,进入高危命令页面。
选择【策略配置】>【创建策略】,进入创建策略页面。
在创建策略页面,填写策略的基本信息,包括策略名称、策略描述和启用状态。
填写策略详情,包括选择黑名单/白名单及其对应的执行动作,填写正则表达式,选择威胁等级,选择生效主机范围。
黑名单规则,指发现主机存在威胁命令时将产生告警通知。
说明
- 拦截策略指当发现主机存在威胁命令时,将对威胁命令的执行进行自动拦截,并告警通知。
- 拦截策略仅支持旗舰版机器。
白名单规则,指对威胁命令进行放行,不再产生告警或拦截行为。
说明
- 若生效主机范围选择全部专业版或旗舰版主机,新增专业版或旗舰版主机时,将自动加入策略生效范围。
- 可勾选对符合本策略规则的历史“待处理”告警,执行本策略规则的操作。
设置完成后,可在策略列表查看,列表中应用于黑名单的策略会被标记为相应的威胁等级。
在策略列表中可对策略进行筛选、编辑和删除等操作。
- 筛选:已配置的策略支持按关键字及标签查询(多个关键字用竖线 “|” 分隔,多个过滤标签用回车键分隔)筛选,支持按威胁等级(全部/高危/中危/低危/无),支持按执行动作(告警/拦截/放行),支持按生效状态(已生效/未生效)进行筛选。
- 自定义设置列表字段:在策略列表上方,单击
,可设置列表展示字段,选择完成后,单击【确定】,即可设置成功。 - 启用状态:列表支持设置策略的启用状态,可在启用状态列,单击【启用开关】,决定该策略是否启用。
- 编辑:在策略列表的右侧操作栏,单击【编辑】,可对已创建的策略进行编辑。
- 删除:在策略列表中,支持对已配置的策略进行删除。
,可设置列表展示字段,选择完成后,单击【确定】,即可设置成功。系统策略
高危命令功能新增系统自动拦截规则,开启后,支持自动拦截检测出的系统高危命令,部分内容仍需您手动配置策略。
- 系统高危命令:主机安全运营专家与算法专家经过沉淀的系统高危命令,此名单中的高危命令可进行自动拦截。
- 拦截原理说明:高危命令自动拦截采用查杀命中规则的进程的方式,例如,如果进程 A 尝试创建一个"/bin/bash -i"进程(假设"bash -i"已被列入黑名单),那么这个尝试创建的"/bin/bash"进程将会被终止(或创建失败),而进程 A 本身不会受到影响。
说明:
- 如您发现误拦截情况,可创建自定义策略进行加白处理。
- 系统自动拦截规则仅限旗舰版主机使用。