事件列表
最近更新时间: 2024-10-17 17:10:00
文件篡改功能提供文件篡改监测事件列表和规则配置列表。事件列表展示模块中提供文件篡改检测结果。
筛选刷新事件列表
登录 [容器安全服务控制台],在左侧导航中,单击高级防御 > 文件篡改 > 事件列表,进入事件列表页面。
在事件列表页面,单击搜索框,可通过“文件名称、进程路径和命中规则”等关键词对文件篡改检测结果进行查询。
- 在事件列表页面,单击操作栏右侧刷新图标,即可刷新事件列表。
导出检测结果
登录 [容器安全服务控制台],在左侧导航中,单击高级防御 > 文件篡改 > 事件列表,进入事件列表页面。
在事件列表页面,单击勾选所需的文件篡改检测事件后,单击导出图标即可导出文件篡改检测事件。
说明:
单击操作栏处图标,可进行批量勾选。
更改事件状态
登录 [容器安全服务控制台],在左侧导航中,单击高级防御 > 文件篡改 > 事件列表,进入事件列表页面。
方式1
在事件列表页面,可对文件篡改检测事件进行标记已处理、忽略和删除处理。
- 标记已处理:单击勾选所需的文件篡改检测事件后,单击标记已处理>确定,即可将选中事件标记已处理。
说明:
建议您参照事件详情中的“解决方案”,人工对该事件风险进行处理,可将事件标记为已处理。
- 忽略:单击勾选所需的文件篡改检测事件后,单击忽略>确定,即可将选中事件忽略。
说明:
仅将已选事件进行忽略,若再有相同事件发生依然会进行告警。
- 删除:单击勾选所需的文件篡改检测事件后,单击删除>确定,即可将选中事件删除。
注意:
删除已选事件记录,控制台将不再显示,无法恢复记录,请慎重操作。
方式2
- 在事件列表页面,事件状态为待处理时,单击立即处理,可选择将事件状态设置为添加白名单、标记已处理和忽略等。
- 单击确定或取消,即可完成或取消事件状态更改。
- 在事件列表页面,事件状态为已忽略时,可单击取消忽略或删除,可将事件取消忽略或删除。
说明:
- 取消忽略后,该事件状态将变更为待处理,需单击确定进行二次确认。
- 删除该事件记录,控制台将不再显示,无法恢复记录,请慎重操作。
- 在事件列表页面,事件状态为已处理时,可单击删除,删除该事件。
说明:
删除该事件记录,控制台将不再显示,无法恢复记录,请慎重操作。
查看事件详情
登录 [容器安全服务控制台],在左侧导航中,单击高级防御 > 文件篡改 > 事件列表,进入事件列表页面。
在事件列表页面,单击进程路径左侧展开图标,可查看事件描述。
- 在事件列表页面,单击查看详情,右侧弹出事件详情页面。
- 在事件详情页面,展示了事件详情、进程信息、父进程信息和事件描述。并可对该事件进行标记已处理、忽略和加白等操作。
说明:
标记已处理、忽略和删除:相应操作处理请参考更改事件状态。
- 在事件详情页面,单击加白进入复制规则页面,需配置基本信息、配置规则和镜像生效范围。
- 基本信息:输入事件的规则名称,单击开启或关闭规则检查。
说明:
关闭后,将不再进行该规则检测!
- 配置规则:输入需放行的进程路径和被访问文件路径,选择执行动作。单击添加或删除,可进行添加或删除规则。
说明:
- 配置规则最多可添加30条。
- 执行动作有:
- 拦截:命中规则条件时,将自动拦截进程运行,记录事件详情。
- 告警:命中规则条件时,仅自动告警事件,不拦截进程运行,记录事件详情。
- 放行:命中规则条件时,将自动放行进程运行,不产生事件记录。
- 镜像范围:全部镜像和自选镜像。其中单击所需的自选镜像 或 图标,即可选中或删除自选镜像。
说明:
支持按住 shift 键进行多选。
- 选择所需内容后,单击设置或取消,即可完成或取消设置。
自定义列表管理
登录 [容器安全服务控制台],在左侧导航中,单击高级防御 > 文件篡改 > 事件列表,进入事件列表页面。
在事件列表页面,单击设置图标,弹出自定义列表管理弹窗,在弹窗中可以自定义设定列表管理。
在自定义列表管理弹窗,选择所需的类型后,单击确定,即可完成设置自定义列表管理。
列表重点字段说明
首次生成时间:该文件篡改事件首次触发告警的时间。系统默认对未处理的相同告警事件进行聚合。
最近生成时间:聚合的告警事件最近触发告警的时间。可单击右侧排序按钮对列表事件按时间正序和时间反序进行排列。
事件数量:聚合时间范围内该文件篡改事件触发告警的总数量。
动作执行结果:包括拦截成功、拦截失败、放行、告警,支持按动作执行结果对列表事件进行快速筛选。
状态:包括已处理、已忽略、未处理、已加白,支持按状态对列表事件进行快速筛选。