动态与公告

产品动态

产品公告

新手指引

产品简介

产品概述

产品优势

基本概念

应用场景

关联产品

功能介绍与版本比较

购买指南

购买安全防护授权

购买日志分析服务

快速入门

操作指南

安全概览

资产概览

主机列表

资产指纹

漏洞管理

基线管理

文件查杀

异常登录

密码破解

恶意请求

高危命令

本地提权

反弹 Shell

Java 内存马

核心文件监控

网络攻击

勒索防御

日志分析

授权管理

告警设置

访问管理指引

混合云安装指引

新手常见问题

软件相关说明

功能行为描述

客户端进程说明

安全基线检测列表

JSON 格式告警数据解析

日志字段数据解析

客户端安装指引

安全评分说明

实践教程

漏洞自动修复

恶意文件处理

故障处理

Linux 入侵类问题排查思路

Windows 入侵类问题排查思路

Linux 客户端离线排查

Windows 客户端离线排查

异常登录的消息提醒

API 文档

History

Introduction

API Category

Asset Management APIs

Virus Scanning APIs

Abnormal Log-in APIs

Password Cracking APIs

Malicious Request APIs

High-Risk Command APIs

Local Privilege Escalation APIs

Reverse Shell APIs

Vulnerability Management APIs

New Baseline Management APIs

Baseline Management APIs

Advanced Defense APIs

Security Operation APIs

Expert Service APIs

Other APIs

Overview Statistics APIs

Settings Center APIs

Making API Requests

Intrusion Detection APIs

Data Types

Error Codes

常见问题

高危命令

PDF

聚焦模式

字号

最后更新时间： 2024-08-13 16:29:50

本文档将为您介绍如何查看并操作高危命令告警列表。
背景信息
基于腾讯云安全技术及多维度多种手段，主机安全可对系统中的命令实时监控，若检测出高危命令，系统会向您提供实时告警通知。此外还可配置策略，对威胁命令进行危险程度的标记并执行相应动作。
前提条件
高危命令仅支持专业版、旗舰版主机，基础版和未防护主机须 升级专业版或旗舰版 才可使用该功能。
告警列表
1. 登录 主机安全控制台，在左侧导航栏，选择入侵检测 > 高危命令，进入高危命令的告警列表标签页。
2. 在高危命令的告警列表标签页，可查看高危命令告警列表，并进行相关操作。列表界面可展示发生高危命令告警的主机名称/实例 ID、IP 地址、命中策略类型、命中策略、威胁等级、命令内容、登录用户、PID、进程、数据来源、发生时间、处理时间、状态及操作共计14个字段，展示列表字段可进行自定义。
筛选：高危命令事件列表支持选择日期查看相应的告警信息，支持按关键字及标签查询（多个关键字用竖线 “|” 分隔，多个过滤标签用回车键分隔）事件，同时支持按命中策略类型、威胁等级、数据来源及状态筛选告警信息。
﻿
自定义列表字段：在高危命令告警列表上方，单击
﻿
，可设置列表展示字段，选择完成后，单击确定，即可设置成功。
﻿
告警列表导出：在高危命令告警列表上方，单击
﻿
，可将列表信息导出。
详情 > 告警详情：单击详情，可查看高危命令告警详情页。
﻿
详情 > 进程树：在高危命令告警详情页，选择进程树标签页，可查看以时间倒序排列的三个进程详情。
﻿
详情 > 事件调查：在高危命令告警列表的右侧操作栏，单击详情选择事件调查标签页，可进入对应主机列表的 事件调查。
说明
Windows 机器暂不支持事件调查功能。
仅旗舰版支持事件调查功能。
标记已处理：单击处理 > 标记已处理 ，若用户已手动处理了本次高危命令告警，可将该告警标记为已处理。
﻿
加入白名单：单击处理 > 加入白名单，可对信任的命令加入白名单，后续该命令再被执行将不再产生告警或拦截。
﻿
创建拦截策略：单击处理 > 创建拦截策略，可对威胁命令进行自动拦截，并产生拦截记录。
说明
拦截策略仅支持旗舰版主机，基础版、专业版主机须先  升级旗舰版。
﻿
忽略：支持单选或多选高危命令告警信息，仅将本次选中的告警进行忽略，若再有相同情况发生依然会进行告警。
删除记录：支持单选或多选高危命令告警信息，删除选中的告警记录。
﻿
策略配置
创建自定义策略
高危命令功能支持创建自定义策略，通过设置策略对威胁命令进行相应的处理行为。
1. 登录 主机安全控制台，在左侧导航栏选择入侵检测 > 高危命令，进入高危命令页面。
2. 选择策略配置 > 创建策略，进入创建策略页面。
3. 在创建策略页面，填写策略的基本信息，包括策略名称、策略描述和启用状态。
﻿
4. 填写策略详情，包括选择黑名单/白名单及其对应的执行动作，填写正则表达式，选择威胁等级，选择生效主机范围。
黑名单规则，指发现主机存在威胁命令时将产生告警通知。
说明
拦截策略指当发现主机存在威胁命令时，将对威胁命令的执行进行自动拦截，并告警通知。
拦截策略仅支持旗舰版机器，基础版、专业版主机请先 升级旗舰版 才可使用该功能。
﻿
白名单规则，指对威胁命令进行放行，不再产生告警或拦截行为。
说明
若生效主机范围选择全部专业版和旗舰版主机，新增专业版/旗舰版主机时，将自动加入策略生效范围。
可勾选对符合本策略规则的历史“待处理”告警，执行本策略规则的操作。
﻿
5. 设置完成后，可在策略列表查看，列表中应用于黑名单的策略会被标记为相应的威胁等级。
6. 在策略列表中可对策略进行筛选、编辑和删除等操作。
﻿
字段说明：
筛选：已配置的策略支持按关键字及标签查询（多个关键字用竖线 “|” 分隔，多个过滤标签用回车键分隔）筛选，支持按威胁等级（全部/高危/中危/低危/无），支持按执行动作（告警/拦截/放行），支持按生效状态（已生效/未生效）进行筛选。
自定义设置列表字段：在策略列表上方，单击
﻿
，可设置列表展示字段，选择完成后，单击确定，即可设置成功。
启用状态：列表支持设置策略的启用状态，可在启用状态列，单击启用开关，决定该策略是否启用。
编辑：在策略列表的右侧操作栏，单击编辑，可对已创建的策略进行编辑。
删除：在策略列表中，支持对已配置的策略进行删除。
系统策略
高危命令功能新增系统自动拦截规则，开启后，支持自动拦截检测出的系统高危命令，部分内容仍需您手动配置策略。
系统高危命令：主机安全运营专家与算法专家经过沉淀的系统高危命令，此名单中的高危命令可进行自动拦截。
拦截原理说明：高危命令自动拦截采用查杀命中规则的进程的方式，例如，如果进程 A 尝试创建一个"/bin/bash -i"进程（假设"bash -i"已被列入黑名单），那么这个尝试创建的"/bin/bash"进程将会被终止（或创建失败），而进程 A 本身不会受到影响。
说明：
如您发现误拦截情况，可 创建自定义策略 进行加白处理或 联系我们。
系统自动拦截规则仅限旗舰版用户使用。
1. 登录 主机安全控制台，在左侧导航栏选择入侵检测 > 高危命令。
2. 在高危命令页面，支持如下两种方式开启系统自动拦截规则。
在策略配置页面，单击系统自动拦截规则策略右侧的生效状态开关。
﻿
在告警列表页面，单击开启高危命令自动拦截开关。
﻿
﻿