高危命令
最近更新时间: 2024-10-17 17:10:00
本文档将为您介绍如何查看并操作高危命令事件列表。
背景信息
基于腾讯云金融专区安全技术及多维度多种手段,主机安全可对系统中的命令实现实时监控,并且可通过配置规则对命令危险程度进行等级划分,若检测出高危命令,系统会向您提供实时告警通知。
前提条件
高危命令功能仅专业版主机支持,基础版和未防护主机须 升级专业版 才可使用该功能。
操作步骤
事件列表
登录主机安全控制台,在左侧导航栏,选择入侵检测 > 高危命令,进入高危命令的事件列表标签页。
在高危命令的事件列表标签页,可查看高危命令事件列表,并进行相关操作。在事件列表界面可展示发生高危命令事件的服务器IP/名称、规则类别、命中规则名、威胁等级、命令内容、数据来源、发生时间、处理时间、状态及操作等12个字段,展示列表字段可进行自定义。
- 筛选事件:高危命令事件列表支持选择日期查看相应的事件,支持按关键字及标签查询(多个关键字用竖线 “|” 分隔,多个过滤标签用回车键分隔)事件,同时支持按威胁等级及状态筛选事件。
- 自定义列表字段:在高危命令事件列表上方,单击,可设置列表展示字段,选择完成后,单击确定,即可设置成功。
事件列表导出:在高危命令事件列表上方,单击,可将高危命令事件列表导出。
详情:单击详情,可查看高危命令事件详情及进程树信息。
- 加入白名单:单击处理 > 加入白名单,可对信任的命令加入白名单,后续该命令再被执行将不再产生告警。
说明:
针对本高危命令事件的命令,单击自动生成可支持自动生成正则表达式,也可以对符合本白名单的历史待处理事件执行加白操作。
已手动处理:若用户已手动处理了本次高危命令事件,可将该事件标记为已手动处理,便于维护。
删除记录:支持单选&多选高危命令事件,对事件记录进行删除,删除后将不再显示。
用户规则配置
高危命令功能支持新增规则,通过设置规则对满足条件的事件进行标记危险等级。
登录主机安全控制台,在左侧导航栏,选择入侵检测 > 高危命令,进入高危命令页面。
在高危命令页面,选择用户规则配置 > 新增规则。
在新增规则页面,选择规则类别(黑名单/白名单),填写规则名称和正则表达式,选择生效服务器范围,支持勾选历史事件自动加白。
- 黑名单规则,指命令内容一旦命中黑名单的正则表达式,则将产生安全事件告警。
- 白名单规则,主要是为部分误告警的服务器提供加白操作。
注意:
- 若服务器范围选择全部服务器,将对用户 APPID 下所有服务器添加信任该白名单条件,请谨慎操作。
- 检测到系统命令字符串匹配正则表达式,即视为高危命令(正则表达式也可为某具体命令)。
设置完成后,可在用户规则配置列表查看该规则,在事件列表中满足黑名单规则的事件即会被标记为相应的威胁等级。
在用户规则配置页面,可对规则进行筛选删除等操作。
字段说明:
筛选:已配置的用户规则支持按关键字及标签查询(多个关键字用竖线 “|” 分隔,多个过滤标签用回车键分隔)筛选,同时支持按威胁等级(全部、高、中及低)进行筛选。
自定义设置列表字段:在规则列表上方,单击,可设置列表展示字段,选择完成后,单击确定,即可设置成功。
编辑:在规则列表的右侧操作栏,单击编辑,可对已创建的规则进行编辑。
删除:在规则列表中,支持对已配置的规则进行删除。
启用状态:在规则列表中,支持设置规则的启用状态,可在启用状态列,单击启用开关,决定该规则是否启用。