- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 软件相关说明
- 最佳实践
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Intrusion Detection APIs
- TrustMalwares
- RecoverMalwares
- MisAlarmNonlocalLoginPlaces
- DescribeNonlocalLoginPlaces
- DescribeMalwares
- DescribeBruteAttacks
- DeleteMalwares
- UntrustMalwares
- SeparateMalwares
- UntrustMaliciousRequest
- TrustMaliciousRequest
- ExportMaliciousRequests
- DescribeMaliciousRequests
- DeleteMaliciousRequests
- ModifyLoginWhiteList
- ExportNonlocalLoginPlaces
- ExportMalwares
- ExportBruteAttacks
- DescribeLoginWhiteList
- DeleteLoginWhiteList
- AddLoginWhiteList
- Overview Statistics-Related APIs
- Vulnerability Management-Related APIs
- Setting Center-Related APIs
- Asset Management APIs
- DescribeProcesses
- DescribeProcessTaskStatus
- DescribeProcessStatistics
- DescribeHistoryAccounts
- DescribeComponents
- DescribeComponentStatistics
- DescribeComponentInfo
- DescribeAccounts
- DescribeAccountStatistics
- CreateProcessTask
- EditTags
- DescribeTags
- DescribeTagMachines
- DescribeOpenPortTaskStatus
- DeleteMachineTag
- AddMachineTag
- CreateOpenPortTask
- Other APIs
- DescribeUsualLoginPlaces
- DeleteUsualLoginPlaces
- DeleteNonlocalLoginPlaces
- DeleteMachine
- DeleteBruteAttacks
- CreateUsualLoginPlaces
- CloseProVersion
- DescribeWeeklyReports
- DescribeWeeklyReportVuls
- DescribeWeeklyReportNonlocalLoginPlaces
- DescribeWeeklyReportMalwares
- DescribeWeeklyReportInfo
- DescribeWeeklyReportBruteAttacks
- DescribeOpenPorts
- DescribeOpenPortStatistics
- RenewProVersion
- OpenProVersionPrepaid
- ModifyProVersionRenewFlag
- InquiryPriceOpenProVersionPrepaid
- OpenProVersion
- Data Types
- Error Codes
- 常见问题
- 服务等级协议
- CWPP 政策
- 联系我们
- 词汇表
- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 软件相关说明
- 最佳实践
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Intrusion Detection APIs
- TrustMalwares
- RecoverMalwares
- MisAlarmNonlocalLoginPlaces
- DescribeNonlocalLoginPlaces
- DescribeMalwares
- DescribeBruteAttacks
- DeleteMalwares
- UntrustMalwares
- SeparateMalwares
- UntrustMaliciousRequest
- TrustMaliciousRequest
- ExportMaliciousRequests
- DescribeMaliciousRequests
- DeleteMaliciousRequests
- ModifyLoginWhiteList
- ExportNonlocalLoginPlaces
- ExportMalwares
- ExportBruteAttacks
- DescribeLoginWhiteList
- DeleteLoginWhiteList
- AddLoginWhiteList
- Overview Statistics-Related APIs
- Vulnerability Management-Related APIs
- Setting Center-Related APIs
- Asset Management APIs
- DescribeProcesses
- DescribeProcessTaskStatus
- DescribeProcessStatistics
- DescribeHistoryAccounts
- DescribeComponents
- DescribeComponentStatistics
- DescribeComponentInfo
- DescribeAccounts
- DescribeAccountStatistics
- CreateProcessTask
- EditTags
- DescribeTags
- DescribeTagMachines
- DescribeOpenPortTaskStatus
- DeleteMachineTag
- AddMachineTag
- CreateOpenPortTask
- Other APIs
- DescribeUsualLoginPlaces
- DeleteUsualLoginPlaces
- DeleteNonlocalLoginPlaces
- DeleteMachine
- DeleteBruteAttacks
- CreateUsualLoginPlaces
- CloseProVersion
- DescribeWeeklyReports
- DescribeWeeklyReportVuls
- DescribeWeeklyReportNonlocalLoginPlaces
- DescribeWeeklyReportMalwares
- DescribeWeeklyReportInfo
- DescribeWeeklyReportBruteAttacks
- DescribeOpenPorts
- DescribeOpenPortStatistics
- RenewProVersion
- OpenProVersionPrepaid
- ModifyProVersionRenewFlag
- InquiryPriceOpenProVersionPrepaid
- OpenProVersion
- Data Types
- Error Codes
- 常见问题
- 服务等级协议
- CWPP 政策
- 联系我们
- 词汇表
本文将为您介绍高危命令的功能和操作。
概述
基于腾讯云安全技术及多维度多种手段,主机安全可对系统中的命令实现实时监控,并且可通过配置规则对命令危险程度进行等级划分,若检测出高危命令,系统会向您提供实时告警通知。
限制说明
至少存在1台已绑定防护授权的主机(专业版/旗舰版),才可解锁高危命令功能。
操作指南
1. 登录 主机安全控制台 。
2. 单击左侧导航中的入侵检测>高危命令,各功能说明如下。
事件列表
在事件列表中,可查看并处理主机安全监测到的高危命令风险。
字段说明:
服务器IP/名称:检测到存在高危命令的服务器。
规则类别:系统规则、用户规则。
命中规则名:所命中的系统规则或用户规则名称。
威胁等级:高危、中危、低危。
命令内容:执行的具体命令内容。
登录用户:命令执行时当前登录的用户。
PID:保证进程文件的唯一的标识。
进程:程序执行后运行的状态。
数据来源:bash日志、实时监控
发生时间:高危命令的发生时间。
处理时间:您在主机安全控制台上,对高危命令进行处理的时间。
状态:待处理、已加入白名单、已处理、已忽略。
操作
详情:可查看高危命令的更多信息,如进程信息、命令行、危害描述等。
处理
标记已处理:建议您参照事件详情中的“修复建议”,人工对该事件风险进行处理,处理后可将事件标记为已处理。
加入白名单:加入白名单操作后,当再次发生相同事件时将不再进行告警,请谨慎操作。
忽略:仅将本次告警事件进行忽略,若再有相同事件发生依然会进行告警。
删除记录:删除该事件记录,控制台将不再显示,无法恢复记录,请慎重操作。
用户规则配置
在用户规则配置中,可进行高危命令白名单/黑名单规则的增/删/改/查。
字段说明:
规则名称:高危命令黑/白名单的规则名称。
黑/白名单:黑名单指命令内容一旦命中黑名单的正则表达式,则将产生安全事件告警。白名单指命令内容命中白名单则不产生告警,避免产生误报。
正则表达式:判定命令是否命中黑/白名单的正则表达式。
威胁等级:高危、中危、低危、无。
生效服务器台数:规则对应的生效服务器范围。
更新时间:规则最近一次更新时间。
启用状态:开启/关闭。
操作
编辑:可对规则的生效服务器范围进行编辑。
删除:可对规则进行删除。
是
否
本页内容是否解决了您的问题?