租户端 安全 容器安全(TCSS) 操作指南-新

文件查杀

最近更新时间: 2024-10-17 17:10:00

文件查杀提供实时检测和定期扫描容器内木马病毒文件功能。

查看风险趋势

  1. 登录 [容器安全服务控制台],在左侧导航中,单击运行时安全 > 文件查杀

  2. 在文件查杀页面,可以查看待处理风险、影响容器的数量和趋势。

  • 待处理风险:展示近7天待处理风险趋势图和较昨日新增风险数据。将鼠标悬停在趋势图上,展示某一天的待处理风险数据。

  • 影响容器:展示近7天影响容器趋势图和较昨天新增影响容器数据。将鼠标悬停在趋势图上,展示某一天的影响容器数据。

设置风险检测

在 [文件查杀页面] 的风险检测模块,支持对定时检测和实时监控功能进行设置。

说明:

  • 实时监控是客户配置的路径的增量文件实时检测。
  • 定时检测是客户配置的路径全部文件检测。

设置定时检测

  1. 在风险检测模块,单击定时检测右侧的编辑图标,进入定时检测设置页面。

  2. 在定时检测设置页面,单击开启开关,开启定时检测,并依次设置检测时间、检测路径、检测范围。

参数说明:

  • 实时检测开关:支持通过单击“开关”,可开启或关闭实时检测功能。

  • 检测时间

    • 检测周期:包括每天、每隔三天、每隔七天。

    • 开始检测时间:配置定时任务何时开始扫描。

    • 超时时长:当检测时长达到超时设置时间时,检测任务将终止。默认时间为5小时。

  • 检测路径

    • 全部路径:检测容器内全部文件路径。

    • 自选路径:按自选的配置路径检测容器内文件。

  • 检测范围

    • 主机节点:选择主机节点时,可选择扫描全部节点或自选节点。自选节点时,支持按节点名称和 IP 筛选需定时扫描的节点。

    • 容器:选择容器时,可选择全部容器或自选容器。自选容器时,支持按容器名称和容器 ID 筛选需定时扫描的容器。

  1. 单击保存设置,即可完成定时检测设置。

设置实时监控

  1. 在风险检测模块,单击实时监控右侧的编辑图标,进入实时监控设置页面。

  2. 在实时监控设置页面,单击开启,开启实时监控,配置相关参数,

参数说明:

  • 实时监控开关:支持通过单击开启或关闭实时监控功能。

  • 检测路径

    • 全部路径:检测容器内全部文件路径。

    • 自选路径:按自选的配置路径检测容器内文件。

  • 选择路径:根据实际需求选择检测以下文件路径检测除以下文件路径外的其他路径。单击 可添加多个路径,最多为30个。

  1. 单击保存设置,即可完成实时监控设置。

设置一键检测

  1. 在风险检测模块,单击一键检测,进入一键检测页面。

  2. 在一键检测页面,选择检测路径、检测范围,并设置超时时间。

参数说明:

  • 检测路径:

    • 全部路径:检测容器内全部文件路径。

    • 自选路径:按自选的配置路径检测容器内文件。

  • 检测范围:

    • 主机节点:选择主机节点时,可选择扫描全部节点或自选节点。自选节点时,支持按节点名称和 IP 筛选需定时扫描的节点。

    • 容器:选择容器时,可选择全部容器或自选容器。自选容器时,支持按容器名称和容器 ID 筛选需定时扫描的容器。

  • 超时设置:当检测时长达到超时设置时间时,检测任务将终止。默认时间为5小时。

  1. 单击开始检测,即按配置条件开始扫描容器内文件。

查看最近一次检测结果

在风险检测模块,单击最近一次检测结果,可查看近一次扫描任务详情。

检测详情展示内容:

  • 检测详情概览

    • 近一次扫描任务是否发现风险文件,如有发现,将展示风险文件数量、风险容器数量和扫描容器数量。

    • 近一次扫描任务开始检测和结束检测时间。

  • 检测详情列表:展示近一次扫描任务扫描出的风险文件概况,按容器资产进行聚合。

    • 列表字段包括:容器名称/ID、镜像名称/ID、主机节点名称/IP、检测状态、检测用时、风险数和操作项。

    • 支持对扫描任务进行重新检测,或停止正在检测中的任务。

    • 支持按主机名称、主机 IP、容器名称、容器 ID、镜像名称、镜像 ID 进行检索。

    • 单击左侧展开图标可查看风险文件的文件名称、文件路径、病毒名称和查看详情按钮;单击查看详情,可查看恶意文件详情。

查看事件列表

在 [文件查杀页面]的事件列表模块中,展示模块中提供容器木马病毒检测结果。

筛选事件

在事件列表模块中,支持通过如下两种方法对事件进行筛选。

  • 单击搜索框通过“文件名称、文件路径、病毒名称、容器名称”等关键词查询木马病毒事件。

  • 单击容器状态或状态右侧的筛选图标,可以通过容器状态和事件状态对木马病毒事件进行查询。

查看详情

在事件列表模块中,单击查看详情,右侧抽屉展示事件详情信息,包括病毒文件基本信息、事件详情、事件描述和进程信息。仅实时监控上报的事件详情中展示进程信息。

处理事件

在事件列表模块中,单击立即处理,可以选择对事件进行添加白名单、隔离(推荐)、忽略、删除,单击确定,即可对事件进行上述处理。

参数说明:

  • 添加白名单:若您确认该文件无恶意并添加白名单,系统将不再对该文件进行检测,请谨慎操作

  • 隔离(推荐):隔离此病毒文件,让黑客无法再次启动它,便于您定位病毒文件位置,对其进行查杀。

  • 忽略:仅将本次告警事件进行忽略,若再有相同事件发生依然会进行告警。

  • 删除:删除该事件记录,控制台将不再显示,无法恢复记录,请慎重操作。

自动隔离文件

容器安全服务新增木马自动隔离功能,支持自动隔离检测出的系统黑名单文件,以及用户自定义的恶意文件。

系统自动隔离文件

容器安全将自动隔离检测出的系统黑名单文件,部分恶意文件仍需用户手动确认隔离,建议您检查文件查杀列表中所有安全事件,确保已全部处理。若出现误隔离,请在已隔离列表中对文件进行恢复。

  1. 登录 [容器安全服务控制台] ,在左侧导航中,单击运行时安全 > 文件查杀

  2. 在文件查杀页面,单击右上角的查杀设置

  1. 在查杀设置窗口中,单击自动隔离文件

  2. 在系统自动隔离文件模块,可单击开启或关闭自动隔离,同时,支持隔离并结束恶意文件相关进程。

说明:

  • 系统黑名单文件:腾讯云容器安全运营专家与算法专家经过沉淀的文件名单,此名单中的文件可进行自动隔离。
  • 自动隔离开关默认关闭,客户可根据需求进行开启。启动自动隔离时,客户可自定义勾选是否隔离并结束恶意文件相关进程。
  • 自动隔离开启时,系统黑名单和用户自定义黑名单均生效,支持对黑名单中的文件进行自动隔离。 自动隔离关闭时,系统黑名单和用户自定义黑名单均不对告警关联的恶意文件进行自动隔离。

用户自定义隔离文件

支持查看用户自定义隔离文件列表,自定义开启或关闭该文件的自动隔离开关。

  1. 登录 [容器安全服务控制台] ,在左侧导航中,单击运行时安全 > 文件查杀

  2. 在文件查杀页面,单击右上角的查杀设置

  1. 在查杀设置窗口中,单击自动隔离文件

  2. 在用户自定义隔离文件模块,支持控制自动隔离开关、查看详情和下载文件。

操作说明:

  • 单击自动隔离开关,可开启或关闭自动隔离。

  • 单击详情查看恶意文件的基本信息、危害描述和修复建议。

  • 单击下载,可下载该恶意文件。

隔离文件列表

  • 在 [文件查杀页面]的事件列表中,手动隔离恶意文件时,如勾选“再次检测到该病毒文件时自动隔离”,该恶意文件的 MD5值将记录在用户自定义隔离文件列表,自动隔离开关状态为开启。系统将对后续检出的同样文件进行自动隔离。当事件列表中手动隔离的恶意文件取消隔离后,用户自定义隔离文件列表中将删除该条记录,自动隔离配置也不再生效。

  • [文件查杀页面]的事件列表中,手动隔离恶意文件时,不勾选“再次检测到该病毒文件时自动隔离”,该恶意文件的MD5值将记录在用户自定义隔离文件列表,自动隔离开关状态为关闭。

说明:

用户自定义隔离文件自动隔离生效,需开启系统自动隔离开关;否则,即使处理安全事件时勾选“再次检测到该病毒文件时自动隔离”,系统也不会对自定义黑名单进行隔离。