说明后门检测属于企业版功能,请先购买企业版配额并绑定主机后,才能正常使用。
登录服务器安全卫士(原生版)控制台,在左侧导航栏选择入侵检测->后门检测。如下图所示,上方展示告警事件和风险服务器的统计情况,下方展示告警事件详情。
告警详情
告警事件列表展示字段包括服务器、告警类型、告警说明、威胁等级、发现时间、状态和操作。告警事件支持按发现时间、告警类型、威胁等级、处理状态、服务器名称、服务器IP进行搜索。
单击查看详情查看后门文件详细信息,包括静态信息和进程信息。静态信息:文件类型、文件访问权限、文件大小、文件所属用户、文件所属用户组、文件SHA1、文件MD5、文件SHA256、状态修改时间、修改时间、最近访问时间;进程信息:进程名、进程所属用户、进程所属用户组、进程文件路径、文件权限、进程命令行。
处理方式
- 标记为已处理:人工对告警进行处理,处理后可将告警标记为已处理。
- 加入白名单:经过分析后确认为误告警,可将此告警加入白名单,后续检测到相同文件后不再进行告警。
白名单管理
将告警进行加白操作后,可进入白名单管理页面对白名单规则进行管理,包括白名单规则的新增、编辑和删除。同时白名单规则列表可根据服务器名称和服务器IP进行搜索,若该规则中包含该台服务器或IP,即进行显示。