使用限制
请先购买企业版或旗舰版配额并绑定主机后,才能正常使用。
查看后门检测告警
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“入侵检测 > 后门检测”,进入后门检测页面。
-
查看后门检测告警。
-
查看统计数据
页面上方展示后门检测事件的统计情况,包括待处理告警事件数和存在风险的服务器数。默认统计最近一周的数据,还可以统计最近一月和最近三月的时间维度。
-
查看告警列表
页面下方展示后门检测告警列表,告警列表包括服务器、告警类型、威胁等级、发现时间、状态(分为已处理和未处理)。
事件列表可按照时间、告警类型、状态、威胁等级、处理状态、服务器名称、服务器IP进行搜索。
-
查看告警详情
单击告警列表操作列的“查看详情”,可进入详情页面查看后门文件详情。
文件详情包括静态信息和进程信息:
- 静态信息:文件类型、文件访问权限、文件大小、文件所属用户、文件所属用户组、文件SHA1、文件MD5、文件SHA256、状态修改时间、修改时间、最近访问时间。
- 进程信息:进程名、进程所属用户、进程所属用户组、进程文件路径、文件权限、进程命令行。
-
处理后门检测告警
标记为已处理
若您已手动处理后门检测告警,可将其“标记为已处理”,标记后,告警的状态将从“未处理”变为“已处理”。
具体操作步骤如下:
-
在后门检测告警列表中,找到目标后门检测告警,单击操作列的“标记为已处理”。
-
在弹出的对话框中单击“确定”。
加入白名单
经过分析后确认为误告警,可将此告警加入白名单,后续检测到相同文件后不再进行告警。
具体操作步骤如下:
- 在后门检测告警列表中,找到目标后门检测告警,单击操作列的“加入白名单”。
- 在弹出的对话框中单击“确定”。
该告警会生成一条白名单规则,显示在白名单列表中。
白名单管理
将告警进行加白操作后,可进入白名单管理页面对白名单规则进行管理,包括白名单规则的新增、编辑和删除。
新增白名单
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“入侵检测 > 后门检测”,进入后门检测页面。
-
单击页面右上角的“白名单管理”,进入白名单管理页面。
-
单击“新增白名单”,弹出如下对话框。
参数说明:
参数 说明 告警类型 支持如下告警类型:
- 存在可疑文件
存在可疑可执行文件
存在木马文件
Dev目录异常
存在可疑进程
存在异常端口
存在网卡异常
说明 告警的说明信息。 服务器分类 可选择全部服务器和部分服务器。
描述 白名单的描述信息。 -
当所有字段都选择完成后,单击“确定”,会生成白名单规则,显示在白名单列表中。
白名单规则列表可根据服务器名称和服务器IP进行搜索,若该规则中包含该台服务器或IP,即进行显示。
编辑白名单
若您需要对已有的白名单规则进行编辑,点击该白名单操作列中的“编辑”,可以修改白名单规则的所有信息,包括告警类型、服务器分类和备注信息,修改完成后点击“确定”即可完成白名单规则的编辑。
移除白名单
若您需要移除白名单,点击该白名单操作列中的“删除”,在提示框中点击“确定”,该白名单规则将被删除。