事件列表

最近更新时间: 2024-10-17 17:10:00

文件篡改功能提供文件篡改监测事件列表和规则配置列表。事件列表展示模块中提供文件篡改检测结果。

筛选刷新事件列表

  1. 登录 [容器安全服务控制台],在左侧导航中,单击高级防御 > 文件篡改 > 事件列表,进入事件列表页面。

  2. 在事件列表页面,单击搜索框,可通过“文件名称、进程路径和命中规则”等关键词对文件篡改检测结果进行查询。

  1. 在事件列表页面,单击操作栏右侧刷新图标,即可刷新事件列表。

导出检测结果

  1. 登录 [容器安全服务控制台],在左侧导航中,单击高级防御 > 文件篡改 > 事件列表,进入事件列表页面。

  2. 在事件列表页面,单击勾选所需的文件篡改检测事件后,单击导出图标即可导出文件篡改检测事件。

说明:

单击操作栏处图标,可进行批量勾选。

更改事件状态

登录 [容器安全服务控制台],在左侧导航中,单击高级防御 > 文件篡改 > 事件列表,进入事件列表页面。

方式1

在事件列表页面,可对文件篡改检测事件进行标记已处理、忽略和删除处理。

  • 标记已处理:单击勾选所需的文件篡改检测事件后,单击标记已处理>确定,即可将选中事件标记已处理。

说明:

建议您参照事件详情中的“解决方案”,人工对该事件风险进行处理,可将事件标记为已处理。

  • 忽略:单击勾选所需的文件篡改检测事件后,单击忽略>确定,即可将选中事件忽略。

说明:

仅将已选事件进行忽略,若再有相同事件发生依然会进行告警。

  • 删除:单击勾选所需的文件篡改检测事件后,单击删除>确定,即可将选中事件删除。

注意:

删除已选事件记录,控制台将不再显示,无法恢复记录,请慎重操作。

方式2

  1. 在事件列表页面,事件状态为待处理时,单击立即处理,可选择将事件状态设置为添加白名单、标记已处理和忽略等。

  1. 单击确定取消,即可完成或取消事件状态更改。

  1. 在事件列表页面,事件状态为已忽略时,可单击取消忽略删除,可将事件取消忽略或删除。

说明:

  • 取消忽略后,该事件状态将变更为待处理,需单击确定进行二次确认。
  • 删除该事件记录,控制台将不再显示,无法恢复记录,请慎重操作。
  1. 在事件列表页面,事件状态为已处理时,可单击删除,删除该事件。

说明:

删除该事件记录,控制台将不再显示,无法恢复记录,请慎重操作。

查看事件详情

  1. 登录 [容器安全服务控制台],在左侧导航中,单击高级防御 > 文件篡改 > 事件列表,进入事件列表页面。

  2. 在事件列表页面,单击进程路径左侧展开图标,可查看事件描述。

  1. 在事件列表页面,单击查看详情,右侧弹出事件详情页面。

  1. 在事件详情页面,展示了事件详情、进程信息、父进程信息和事件描述。并可对该事件进行标记已处理、忽略和加白等操作。

说明:

标记已处理、忽略和删除:相应操作处理请参考更改事件状态。

  1. 在事件详情页面,单击加白进入复制规则页面,需配置基本信息、配置规则和镜像生效范围。

  • 基本信息:输入事件的规则名称,单击开启或关闭规则检查。

说明:

关闭后,将不再进行该规则检测!

  • 配置规则:输入需放行的进程路径和被访问文件路径,选择执行动作。单击添加删除,可进行添加或删除规则。

说明:

  • 配置规则最多可添加30条。
  • 执行动作有:
  • 拦截:命中规则条件时,将自动拦截进程运行,记录事件详情。
  • 告警:命中规则条件时,仅自动告警事件,不拦截进程运行,记录事件详情。
  • 放行:命中规则条件时,将自动放行进程运行,不产生事件记录。
  • 镜像范围:全部镜像和自选镜像。其中单击所需的自选镜像 或 图标,即可选中或删除自选镜像。

说明:

支持按住 shift 键进行多选。

  1. 选择所需内容后,单击设置取消,即可完成或取消设置。

自定义列表管理

  1. 登录 [容器安全服务控制台],在左侧导航中,单击高级防御 > 文件篡改 > 事件列表,进入事件列表页面。

  2. 在事件列表页面,单击设置图标,弹出自定义列表管理弹窗,在弹窗中可以自定义设定列表管理。

  3. 在自定义列表管理弹窗,选择所需的类型后,单击确定,即可完成设置自定义列表管理。

列表重点字段说明

  1. 首次生成时间:该文件篡改事件首次触发告警的时间。系统默认对未处理的相同告警事件进行聚合。

  2. 最近生成时间:聚合的告警事件最近触发告警的时间。可单击右侧排序按钮对列表事件按时间正序和时间反序进行排列。

  3. 事件数量:聚合时间范围内该文件篡改事件触发告警的总数量。

  4. 动作执行结果:包括拦截成功、拦截失败、放行、告警,支持按动作执行结果对列表事件进行快速筛选。

  5. 状态:包括已处理、已忽略、未处理、已加白,支持按状态对列表事件进行快速筛选。