说明可疑操作属于企业版功能,请先购买企业版配额并绑定主机后,才能正常使用。
登录服务器安全卫士(原生版)控制台,在左侧导航栏选择入侵检测->可疑操作。如下图所示,上方展示可疑告警事件和风险服务器的统计情况,下方展示告警事件详情。
告警详情
告警事件列表展示字段包括服务器、规则类别、命中规则名、命令内容、威胁等级、发生时间、状态和操作。告警事件支持按发现时间、规则类别、威胁等级、处理状态、服务器名称、服务器IP、命中规则名、命令内容、进行搜索。
单击查看详情按钮查看可疑操作详细信息。
命中规则:命中规则名称、威胁等级、规则类别、命令内容、登录用户、登录IP、执行命令进程、实际执行命令进程、产生命令的登录终端(TTY)、PID。
命令执行上下文:
处理方式
- 审核通过:人工对告警进行处理,处理后将告警标记为审核通过。
- 审核不通过:审核不通过则确认告警不存在风险。
自定义规则
进入自定义规则配置管理页面,支持创建自定义规则,规则发布后命中规则内容即进行告警。同时自定义规则配置列表可根据规则启用状态、威胁等级、规则名称等进行搜索。