高危命令

最近更新时间: 2024-10-17 17:10:00

本文档将为您介绍如何查看并操作高危命令事件列表。

背景信息

基于腾讯云金融专区安全技术及多维度多种手段,主机安全可对系统中的命令实现实时监控,并且可通过配置规则对命令危险程度进行等级划分,若检测出高危命令,系统会向您提供实时告警通知。

前提条件

高危命令功能仅专业版主机支持,基础版和未防护主机须 升级专业版 才可使用该功能。

操作步骤

事件列表

  1. 登录主机安全控制台,在左侧导航栏,选择入侵检测 > 高危命令,进入高危命令的事件列表标签页。

  2. 在高危命令的事件列表标签页,可查看高危命令事件列表,并进行相关操作。在事件列表界面可展示发生高危命令事件的服务器IP/名称、规则类别、命中规则名、威胁等级、命令内容、数据来源、发生时间、处理时间、状态及操作等12个字段,展示列表字段可进行自定义。

    • 筛选事件:高危命令事件列表支持选择日期查看相应的事件,支持按关键字及标签查询(多个关键字用竖线 “|” 分隔,多个过滤标签用回车键分隔)事件,同时支持按威胁等级及状态筛选事件。

  • 自定义列表字段:在高危命令事件列表上方,单击img,可设置列表展示字段,选择完成后,单击确定,即可设置成功。

  • 事件列表导出:在高危命令事件列表上方,单击img,可将高危命令事件列表导出。

  • 详情:单击详情,可查看高危命令事件详情及进程树信息。

  • 加入白名单:单击处理 > 加入白名单,可对信任的命令加入白名单,后续该命令再被执行将不再产生告警。

说明:

针对本高危命令事件的命令,单击自动生成可支持自动生成正则表达式,也可以对符合本白名单的历史待处理事件执行加白操作。

  • 已手动处理:若用户已手动处理了本次高危命令事件,可将该事件标记为已手动处理,便于维护。

  • 删除记录:支持单选&多选高危命令事件,对事件记录进行删除,删除后将不再显示。

用户规则配置

高危命令功能支持新增规则,通过设置规则对满足条件的事件进行标记危险等级。

  1. 登录主机安全控制台,在左侧导航栏,选择入侵检测 > 高危命令,进入高危命令页面。

  2. 在高危命令页面,选择用户规则配置 > 新增规则。

  1. 在新增规则页面,选择规则类别(黑名单/白名单),填写规则名称和正则表达式,选择生效服务器范围,支持勾选历史事件自动加白。

    • 黑名单规则,指命令内容一旦命中黑名单的正则表达式,则将产生安全事件告警。

  • 白名单规则,主要是为部分误告警的服务器提供加白操作。

注意:

  • 若服务器范围选择全部服务器,将对用户 APPID 下所有服务器添加信任该白名单条件,请谨慎操作。
  • 检测到系统命令字符串匹配正则表达式,即视为高危命令(正则表达式也可为某具体命令)。
  1. 设置完成后,可在用户规则配置列表查看该规则,在事件列表中满足黑名单规则的事件即会被标记为相应的威胁等级。

  2. 在用户规则配置页面,可对规则进行筛选删除等操作。

字段说明:

  • 筛选:已配置的用户规则支持按关键字及标签查询(多个关键字用竖线 “|” 分隔,多个过滤标签用回车键分隔)筛选,同时支持按威胁等级(全部、高、中及低)进行筛选。

  • 自定义设置列表字段:在规则列表上方,单击img,可设置列表展示字段,选择完成后,单击确定,即可设置成功。

  • 编辑:在规则列表的右侧操作栏,单击编辑,可对已创建的规则进行编辑。

  • 删除:在规则列表中,支持对已配置的规则进行删除。

  • 启用状态:在规则列表中,支持设置规则的启用状态,可在启用状态列,单击启用开关,决定该规则是否启用。