使用限制
请先购买企业版或旗舰版配额并绑定主机后,才能正常使用。
查看可疑操作事件
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“入侵检测 > 可疑操作”,进入可疑操作页面。
-
查看可疑操作。
-
查看统计数据
页面上方展示可以操作的统计情况,包括未审核事件、审核通过事件、审核不通过事件、存在风险的服务器数。默认统计最近一周的数据,还可以统计最近一月和最近三月的时间维度。
-
查看事件列表
页面下方展示可疑操作事件列表,展示字段包括服务器、规则类别、命中规则名、命令内容、威胁等级、发生时间、状态。
告警事件支持按发现时间、规则类别、威胁等级、处理状态、服务器名称、服务器IP、命中规则名、命令内容进行搜索。 -
查看告警详情
单击告警列表操作列的“查看详情”,可进入详情页面查看可疑操作详细信息,包括命中规则和命令执行上下文。
-
命中规则:命中规则名称、威胁等级、规则类别、命令内容、登录用户、登录IP、执行命令进程、实际执行命令进程、产生命令的登录终端(TTY)、PID。
-
命令执行上下文
-
-
处理可疑操作事件
- 审核通过:人工对告警进行处理,处理后将告警标记为审核通过。
- 审核不通过:审核不通过则确认告警不存在风险。
配置自定义规则
支持创建自定义规则,规则发布后命中规则的内容即进行告警。
新增规则
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“入侵检测 > 可疑操作”,进入可疑操作页面。
-
单击页面右上角的“自定义规则配置”,进入自定义规则配置页面。
同时自定义规则配置列表可根据规则启用状态、威胁等级、规则名称等进行搜索。
-
单击“新增规则”,弹出新增审计规则窗口。
参数说明:
参数 说明 规则名称 自定义规则的名称。 正则表达式 通过正则表达式匹配满足要求的操作。 威胁等级 配置规则的威胁等级,包括高危、中危、低危。
服务器分类 可选择“全部服务器”或“自选服务器”。
备注 规则的描述信息。 -
当所有字段都选择完成后,单击“确定”,完成配置。
编辑规则
若您需要对已有的规则进行编辑,点击该规则操作列中的“编辑”,可以修改规则的所有信息,包括规则名称、正则表达式、威胁等级、服务器分类和描述信息,修改完成后点击“确认”即可完成规则的编辑。
移除规则
若您需要移除规则,点击该规则操作列中的“删除”,在提示框中点击“确认”,该规则将被删除。