本文将为您介绍核心文件监控的功能和操作。
概述
基于腾讯云自适应学习技术,通过匹配系统规则和用户自定义规则,将实现对核心文件的实时监控。若实时监控到文件访问异常行为,系统会为您提供实时告警。
限制说明
至少存在1台已绑定防护授权的主机(旗舰版),才可解锁核心文件监控功能。
暂只支持 Linux 内核版本为3.10以上的操作系统。
操作指南
2. 单击左侧导航中的高级防御>核心文件监控,各功能说明如下。
事件列表
在事件列表中,可查看并处理主机安全监测到的核心文件(文件被篡改或新增文件)风险。
字段说明:
服务器IP/名称:检测到核心文件存在风险的服务器。
规则类别:系统规则、自定义规则。
命中规则名:所命中的系统规则或自定义规则名称。
事件描述:核心文件风险事件概要。
发生时间:核心文件风险事件发生时间。
最近发生时间:最近监控到核心文件风险的时间。
状态:待处理、已加白、已手动处理、已忽略。
操作
详情:可查看核心文件风险的更多信息,如进程信息、危害描述等。
处理
已手动处理:建议您参照事件详情中的“修复建议”,人工对该事件风险进行处理,处理后可将事件标记为已处理。
加入白名单:加入白名单操作后,当再次发生相同事件时将不再进行告警,请谨慎操作。
忽略:仅将本次告警事件进行忽略,若再有相同事件发生依然会进行告警。
删除:删除该事件记录,控制台将不再显示,无法恢复记录,请慎重操作。
监控规则配置
在监控规则配置中,可对核心文件访问进程做放行/告警配置,支持增/删/改/查。
说明:
系统规则对全部旗舰版服务器生效,只可开启/关闭,不支持修改、删除。
字段说明:
规则名称:核心文件监控的规则名称。
规则类型
系统规则:腾讯主机安全运营专家与算法专家经过多模型沉淀的规则配置,适用于大部分的篡改用户配置监控需求。
自定义规则:用户自行配置的规则。
规则威胁等级:高危、中危、低危、无。
生效服务器:规则的生效服务器范围。
创建时间:规则的创建时间。
最近编辑时间:最近一次编辑规则的时间。
开启状态:开启/关闭。
操作
复制:将现有规则复制一份进行编辑。
编辑:可对规则的生效服务器范围进行编辑。
删除:可对规则进行删除。
本页内容是否解决了您的问题?