全部文档
当前文档
最近更新时间:2025-06-23 16:07:53
入侵威胁管理用以展示及处理各类入侵事件及具有高度威胁的事件,支持识别并处置的入侵威胁事件包括:病毒木马、网页后门、反弹shell、异常账号、日志删除、异常登录、异常进程、系统命令篡改等。
传统的入侵防护方案能够很好地抵御已知的攻击,但是对于未知和迅速变化的攻击手段则缺乏相应的检测能力。因此,如何实现有效的入侵检测并提供实时的告警和响应手段已经成为安全建设急需解决的问题。当前的攻击手段千变万化,但是攻击成功后要做的事情却是归一化的。因此,入侵检测将视⻆从了解黑客的攻击方式,转化成对内在指标的持续监控和分析,结合 IoC、大数据、机器学习等多种分析方法,准确地感知入侵事件,并提供包括短信、邮件等多种方式在内的通知手段,让用户第一时间知道入侵发生,做到了入侵“高”实时。入侵检测还根据入侵场景不同,提供了包括手动/自动进程终止、文件隔离、网络封禁、主机隔离等多种处理方式,让用户从根本上解决入侵事件,让处理从此“高效多样”。
注:文档中功能跟授权相关,未购买相应授权时,对应功能不可见。
系统根据不同的平台类型,分别提供了默认检测配置,安装探针后,用户无需进行相关配置,也可进行大部分入侵能力的安全防护。部分入侵能力依赖插件、事件源或驱动,需要先进行相关配置后,才可正常防护,比如:Linux进程注入防护需要事先开启audit事件源、ebpf事件源、驱动事件源中的任意一种事件源、Windows进程注入防护需要先开启驱动、可疑命令审计需要安装对应的插件、设备具有的入侵阻断能力需要事先开启驱动等,可通过检测配置界面的说明查看相应的依赖。
若用户需要使用以下能力,则必须开启驱动:
分类 | 功能 | Linux-Server | Linux- | Windows-Server | Windows- |
入侵检测能力 | 恶意驱动检测(还需同时开启驱动事件源) | √ | √ |
|
|
windows进程注入 |
|
| √ | √ | |
shellcode异常进程加载检测 |
|
| √ | √ | |
告警响应能力 | 基于进程Hash的阻断 |
| √ |
| √ |
基于进程行为的阻断 |
| √ |
| √ | |
恶意驱动阻断 |
| √ |
| √ | |
恶意模块加载阻断 |
| √ |
| √ | |
访问恶意IP和恶意域名阻断 |
| √ |
| √ | |
凭证窃取阻断 |
| √ |
| √ | |
白加黑利用阻断 |
| √ |
| √ | |
windows进程注入阻断 |
|
|
| √ | |
shellcode异常进程加载阻断 |
|
|
| √ |
驱动开启步骤:
开启驱动总开关。进入租户管理-探针管理-运行管理页面,列表中【驱动配置】一栏代表租户的驱动总开关,只有该开关打开,租户的入侵功能配置等页面才会出现驱动相关配置开关。
开启Agent驱动。管理员将驱动总开关开启后,每个Agent需要再次启动驱动开关,该Agent方允许使用驱动。系统支持用户单独为Agent开启驱动,也支持用户通过创建管理任务批量启用驱动。
单独开启驱动:
进入探针管理-Agent管理页面,点击Agent列表中的【详情】,在右上角【运维操作】中选择启用驱动。
批量开启驱动:
方式1:进入探针管理-Agent管理页面,点击,选择任务类型为【启用驱动】,并指定Agent范围。
方式2:在Agent列表中,勾选需要开启驱动的Agent复选框,在更多操作中选择【启用驱动】。
同时,系统支持用户自定义配置。一个主机只能应用于一个检测配置。当某主机进行自定义配置后,可以看到该主机已从系统默认配置的应用范围中移除,该主机后续将使用自定义配置进行安全防护。
系统默认配置:新上线主机默认使用系统默认配置。
用户自定义配置:当特定的设备需要单独配置检测能力时,可以点击【新建配置】,进行自定义配置。
选择对应的平台类型,进入配置详情界面,可对该类型下的入侵检测能力进行相应的配置,点击,可对某种具体的检测能力进行配置,如下图所示:
说明:
配置详情界面,并不展示所有的检测能力,无需配置的检测能力,如反弹shell,则不会出现在配置详情界面。
可通过“未开启” 的数量,判断对应检测能力的功能是否全部开启。
默认配置中可以看到“告警灵敏度配置”,可根据实际情况选择不同的告警灵敏度,建议选择“严格模式”或“平衡模式”,避免产生过多低置信度告警,带来运维负担,系统默认选择“严格模式”。
严格模式:仅上报高置信告警,即告警列表界面只会看到危险等级为“危急”和“高危”的告警。
平衡模式:仅上报可疑告警,即告警列表界面只会看到危险等级为“危急”、“高危”和“中危”的告警。
宽泛模式:上报全部报警。使用该模式,用户可能会接收到大量低危告警。
不同的平台类型,可设置不同的告警灵敏度,同一平台类型下,告警灵敏度也适用于自定义检测配置。比如:Linux-Server平台类型下,进入系统默认配置,将告警灵敏度设置为“宽泛”,那么无论Linux-Server主机在系统默认配置还是自定义配置中,均会上报所有告警。
历史告警不受告警灵敏度影响。比如,告警灵敏度初始为“严格模式”,此时只会上报危急告警,后续更改为“宽泛模式”后,新产生的告警中才会看到”高危“、”中危“和”低危“的告警。
部分入侵检测能力,支持扫描检测,比如Webshell防护,可通过创建扫描任务,对主机中的Web目录进行扫描,检测目录中是否存在Webshell。系统支持单次或定时扫描任务。
“告警列表”界面,点击表格右上方的“手动扫描”,将显示支持的扫描能力,选择需要的类型,即可创建单次扫描任务。
点击【扫描记录】,可查看所有历史扫描任务信息,包含单次扫描任务和定时扫描任务的执行记录。
定时扫描任务,需要在“检测配置”页面进行相应的配置,如Webshell防护,如下图所示:
扫描管理:创建定时扫描任务。
查看扫描记录:同“告警列表”界面的“扫描记录”功能,可查看历史所有扫描任务执行记录。
无论是“检测配置”还是“扫描检测”,威胁告警的检测均是基于系统内置的检测规则,系统也可支持用户根据自身情况创建自定义检测规则。
进入“自定义IOA”界面,用户可从进程、文件、可疑命令等多维度进行规则自定义,当命中自定义规则时,系统将上报告警。
注意:为了避免频繁同步消耗大量资源,自定义规则保存后,系统并不会将规则同步到Agent端。建议用户将规则全部建完后,再点击【同步】按钮,将规则同步给Agent端,确保规则生效。
如果用户从威胁情报、真实告警或其他来源获取到黑hash、恶意IP或恶意域名,可进入“自定义IOC”界面,录入这些信息,以便系统及时发现和阻断威胁行为。
注意:
只有开启驱动的Agent才具有阻断能力。未开启驱动时,Agent只上报告警信息。可在“探针管理-运行管理-Agent管理“界面开启驱动。
高置信度告警中发现的恶意Hash,系统将自动加入到黑hash列表中,以便能及时通知其他设备不再感染该恶意文件。
系统在发现威胁时,将立刻上报告警。在使用系统前,请先进行告警通知配置,以便及时收到告警通知。
进入“消息中心-通知配置”界面,根据自身需要,进行相应的告警通知配置,如配置接收通知的告警类型、告警接收方式、告警接收人、根据危险程度设置告警通知等。
用户可在“告警列表”查看到每次的告警信息,也可通过“事件列表”查看威胁事件。
告警列表:展示每次上报的告警。当告警被关联事件时,可点击告警列表上的,查看该告警关联的事件。
事件列表:由告警聚合而成,是一组关联告警的集合,旨在帮助用户从攻击链的角度去查看黑客完整的一次入侵攻击过程。
点击进入“告警列表”界面,默认仅展示最近7天的“危急”、”高危“和”中危“告警数据,可从不同维度去筛选和查看相关的告警,仅可查看自己权限范围内的告警。
如果需要在”告警列表“界面查看低危告警,请进行如下配置:
步骤1:在”检测配置“界面中将告警灵敏度设置为”宽泛模式“
步骤2:”告警列表“界面筛选出危险级别为”低危“的告警
注意:更改了告警灵敏度,也只针对未来告警生效,只有后续新产生的低危告警数据,才会在“告警列表”界面展示。
点击告警列表中每条告警信息的
或直接点击告警信息,可查看告警详情,包括告警ID、影响设备、技术或战术、命中内容等检测信息、受影响文件的路径、类型等文件信息及进程名、进程命令行等进程链信息、处理建议等。
不同告警,详情界面展示的信息内容不同,用户可根据告警详情信息进行相关研判。
点击下图中的搜索框将出现搜索选项,用户可通过搜索选项对告警信息进行筛选,比如主机IP、业务组、告警描述、操作系统等。
同时,系统支持用户全量或批量导出筛选后的告警数据。
事件,是关联告警的集合,旨在查看完整的一次入侵攻击过程。
说明:
评分由系统内部算法计算得出,10分为满分,分数越高,事件风险越大。
低于5分的事件,不展示在事件列表。
事件的分数可能是变化的,会根据关联的告警进行加权计算。如果又上报了新的关联告警,事件的分数将重新进行计算。
点击
展开事件所包含的告警概览列表。列表以时间倒序方式展示事件关联的告警。
点击事件列表操作栏下的“事件详情”,可进入事件的详情,主要包括事件总览、分析板、处置记录。
事件总览:展示事件总体信息,比如事件描述、事件评分、事件中用到的战术&技术、受影响主机、告警时间轴信息等。
分析板:以进程、文件、注册表等元素粒度,图形化展示该次事件的入侵全过程。
l 处置记录:记录事件响应日志。
系统不仅让用户第一时间知道入侵发生,做到了入侵“高”实时,同时还根据入侵场景不同,提供了包括手动/自动的进程终止、文件隔离、网络封禁、主机隔离等多种处理方式,让用户从根本上解决入侵事件,让处理从此“高效多样”。
经过响应的告警,会看到告警上打了响应标识,如:
注意:只有对进程、文件等元素做了响应,才会有这个响应标识,仅修改告警处理状态,则不会出现这个标识。
进入“安全响应-自动响应”页面,可创建自动响应策略,从主机类型、响应元素、告警危险等级、应用时段等多种维度,按需创建自动响应策略。
场景 | 说明 |
仅针对部分主机设置自动响应 | 可设置主机类型和应用范围,比如下图中仅针对2台Linux-主机设置自动响应策略。
|
仅针对部分时间段设置自动响应 | 设置应用时段,比如下图,仅在下班时间段(18:00-09:00)开启自动响应。
|
设置自动响应的元素 | 自动响应策略,是从元素粒度进行策略的配置,元素包括进程、文件、主机等。 比如当实时监控到威胁告警时,仅希望终止进程,不希望隔离文件或隔离主机,那么响应元素就可以选择“进程”,告警类型下拉框会仅展示跟“进程”相关的告警类型,用户可根据需要选择哪些告警类型需要终止进程。
不同元素的响应,需要创建不同的响应策略,比如希望对进程和文件都进行响应时,需要针对“进程”和“文件”各创建一个响应策略。 |
设置危险等级 | 当仅想对部分危险等级的告警进行自动响应时,可设置告警等级,比如下图:仅对“危急”告警进行自动响应。
|
告警频率 | 希望每次告警都进行自动响应,则选择“单次告警”; 担心误报时,则可以设置出现“频繁告警”时再进行自动响应,因为同一台设备频繁出现告警时,则认为是真实告警的可信度比较高,相对“单次告警”,会降低误杀概率。 |
说明:
自动响应策略,开启后方可生效。
当匹配到多条冲突策略时,以最新一条策略为准。
自动响应策略,仅针对“事后响应”,即“在事情发生后进行的响应”。
事前响应需要在“检测配置”界面开启响应的阻断开关,且开启驱动。例如检测到进程加载恶意模块时,如果希望禁止进程加载恶意模块,则需要开启相应的阻断开关并开启驱动。
告警详情界面,支持手动对告警元素进行响应,比如进程、文件、主机等。不同告警类型,可响应的元素不同。
响应元素 | 响应说明 |
进程 | 终止进程:仅终止告警中产生恶意行为的进程 l 同时终止被当前告警归并的进程运行:同一文件可能起了多个进程,勾选此项后,会将相同命令行的进程一同终止。 l 同时隔离当前进程文件:将进程对应的可执行文件进行隔离(隔离前会先终止进程)。一般适用于告警中的进程是恶意进程,如果告警中的进程是系统进程(只是被黑客利用做了执行了恶意行为),那么请勿选择隔离文件 自定义终止进程:希望对进程链上的其他进程也进行终止时,可以使用此项功能。比如告警中的进程是恶意进程,其父进程也是恶意的,此时可以将父进程和告警进程一同终止 |
文件 | 隔离文件:将告警文件加密放到隔离区(隔离前先终止进程,然后再隔离文件),可在“安全响应-响应列表”解除隔离 删除文件:将告警文件直接删除,无法恢复,请谨慎使用。 可在响应中心设置隔离区大小和文件保留天数。 l 隔离区大小:当隔离区大小超出限制时,系统将自动删除最早被隔离的文件。 l 文件保留天数:系统会定时检查隔离区文件,删除超期数据,以保证隔离区可使用的空间。 |
主机 | 支持将受影响主机进行网络隔离,可设置隔离的时长,当隔离时长到达后,系统自动解除隔离。 l 双向隔离:禁止网络流量流入和流出,被隔离的主机无法对外发起访问,也无法被访问。注意,如果要允许特定流量流入,请设置开放的本地端口,比如用于远程登录的22端口。 l 单向隔离:禁止网络流量流出,主机无法对外发起访问 目前告警中,仅“勒索攻击”告警支持隔离主机。 其他场景下,请到“安全响应-响应列表” 界面手动新建要隔离的设备。
|
网络 | 当出现可疑的网络行为告警时,可采用【网络封禁】响应方式。比如: l 发现反弹shell时,对其进行网络封禁,禁止后续再对外反弹。 l 当发现攻击者连接蜜罐端口时,对其进行封禁,禁止攻击者访问。 |
无论是自动响应还是手动响应,每一次的响应均会记录日志,点击“安全响应-响应列表”,可查看相关的响应记录
操作历史:记录每一次的响应,不管成功还是失败。
响应列表:记录被成功响应的元素,可对部分响应的元素进行恢复。比如“文件”标签下可查看被成功隔离的文件,可解除隔离。
当系统出现误报时,用户可将被误报的对象加入白名单来避免再次误报的产生,白名单分为告警白名单和驱动检测白名单。
告警白名单:避免后续再产生告警。
驱动检测白名单:当由驱动做检测和阻断时,因为是事前响应,所以当出现误报时,必须将误报内容加入到驱动检测白名单中,才能避免后续再被驱动误拦截。可根据“监控配置-白名单-驱动检测白名单”界面的生效范围来判定哪些功能是支持驱动做拦截的。
告警详情界面,可加入白名单。加白后,误报告警从告警列表消失,后续也不再产生该告警。
可将告警分为两类:未被驱动阻断的告警、被驱动阻断的告警
二者处理方式不同。
场景 | 说明 |
未被阻断的告警 | 详情界面展示【加入白名单】,可将误报信息加入到“告警白名单”中,避免再次产生误报。
加白条件受告警类型影响,不同告警类型的加白条件不一样。
|
被驱动阻断的告警 | 详情界面展示【加入检测白名单】,可将误报信息加入到“驱动检测白名单”中,避免后续再被驱动误拦截。 由驱动层做检测,支持的加白条件有限,一般是进程Hash、进程路径。
|
如果事先知道需要屏蔽的信息,可以在未产生误报告警前,先将其加入白名单。可根据情况判断加入告警白名单还是驱动检测白名单。
场景 | 操作说明 |
加入告警白名单 | 进入“监控配置-白名单”页面,点击【新建】,填写参数后点击保存,加白操作即生效。
|
加入驱动检测白名单 | 进入“监控配置-白名单-驱动检测白名单”页面,点击【新建】,填写保存即可,系统将自动将检测白名单同步到Agent端。
|
告警列表或告警详情界面,可查看告警当前状态,并对告警状态进行修改。
告警状态 | 说明 |
未处理 | 告警状态默认为“未处理”。 |
处理中 | 处理告警过程中,可以将告警状态标记为“处理中,以便知晓该告警正在处理中; 如果告警研判过程较快,也可以不标记为“处理中”,直接标记为研判后的状态。 |
已忽略 | 无需处理的告警,可以标记为“已忽略”,比如内部人员测试产生的告警。 |
已确认 | 真实告警,可以标记为“已确认”,当对告警进行手动或自动响应时,告警状态自动标记为“已确认”。 |
已加白 | 误报告警,加入白名单后,告警状态自动变为“已加白”,并从告警列表消失,可以在“白名单的受影响对象”或“驱动检测白名单的受影响对象”中查看误报告警。 |
内存后门所防御的是一种高级的无文件攻击技术。传统防病毒会保存到磁盘的文件并进行扫描以确定文件是否恶意,但无文件攻击技术不会在目标系统的磁盘上留下可执行文件,而是完全驻留在内存中,利用系统内置的工具或脚本执行恶意代码或webshell文件,从而绕过传统的安全防护措施。无文件攻击由于攻击有效且难以被检测,更有可能爆发大量的攻击利用。
内存webshell通过漏洞利用等方式,令Web进程执行相应的恶意代码,从远端下载webshell在Web进程的内存空间中,或者下载恶意类在进程中进行加载,由此实现不需要写入磁盘的后门植入,之后同样可以使用正常的URL访问到内存中的Webshell,获得回显;而内存恶意代码通过漏洞、黑客工具包等方式,将远程发送的恶意代码指令注入至主机上已运行的进程中执行,从而实现攻击。
内存后门功能从无文件攻击的核心技术过程——进程内存中进行检测,精确捕获注入至进程内存中的恶意文件,通过对进程内存中运行的文件进行特征匹配,及时发现内存中的恶意代码、恶意webshell文件并上报发送告警,有效检出无文件攻击,维护用户主机安全。
内存后门旨在解决如下问题:
1. 帮助用户发现在进程内存中运行的恶意代码,并及时发送告警。
2. 提供对恶意文件内容的特征分析和说明,帮助用户认清告警做出判断,进一步处理。
3. 利用精确检测的能力帮助用户验证对内存后门的修复结果,实现对事件生命周期的管理。
功能优势:
1. 多类型内存马检测:支持检测内存Webshell、进程内存注入、恶意代码文件等常见的内存马,覆盖常见的内存马攻击。
2. 联动自研引擎:发现的内存Webshell会经由金山云自研引擎检测,能够精准检测内存Webshell。
3. 灵活配置:可根据业务需求自行配置主机上是否开启检测能力,可最大化地减少不必要的资源消耗,保障业务稳定运行。
4. 支持一键验证:支持对处理的内存马进行一键验证,可立即得知处理是否生效,内存马是否还对主机造成影响。
5. 支持自动响应:可以配置规则自动处置系统上报告警的内存后门,将内存文件隔离,及时规避入侵风险。
只有购买了“主机安全扩展包”产品,且给Agent分配了“主机安全扩展包”的授权,Agent才具有内存后门检测功能。
修改Agent授权
Agent安装后,也可以修改授权信息,分配“主机安全扩展包”授权,进入“探针管理-运行管理-授权配置”界面,点击【授权配置】,可修改授权,如下图所示:
通过实时监控结合行为触发式的扫描,发现各主机进程内存中是否被注入后门,可以有效检测无文件攻击的事件,包括常见的内存代码注入、内存webshell、远程加载的动态链接库等攻击事件。
内存恶意代码:对进程内存进行检测,监控进程是否加载恶意动态链接库或被注入执行了恶意代码,支持对Linux-、Linux-Server、Windows- 、Windows-Server系统中的进程内存进行检测。
内存webshell:通过多个引擎和检测手段,检测Web进程内存中是否被注入Webshell,并还原出被注入的内容。仅支持对Linux-Server、Windows-Server系统中的Web进程进行注入和检测。
默认配置中,内存后门实时监控默认关闭,如需进行内存后门实时防护,请先在检测配置中开启该功能。
新安装上线的Agent开启内存防护功能:进入“检测配置”页面,选择对应的平台类型,进入默认配置详情界面,找到”内存后门检测“一栏,开启开关即可。
针对特定主机开启:如果不是针对所有新安装上线的主机开启内存防护,则默认配置中内存后门开关仍然保持关闭,此时需要点击【新建配置】,自定义检测配置,在自定义检测配置中开启内存后门检测开关。
实时监控只能对功能开启后内存中运行的进程文件进行检测,对于已存在的进程文件无法检测,因此用户可通过手动扫描补足。
方式1:从告警列表界面创建扫描任务
在“入侵检测-告警列表”界面中点击右上方的“手动扫描”,选择“内存后门检测”。
选择相应的扫描类型,填写相应参数,点击“保存”,即可开始扫描。
方式2:从检测配置界面创建扫描任务
进入“入侵检测-监控配置-检测配置”界面,对应的平台类型下,找到“内存后门检测”一栏,点击“立即扫描”,选择相应的扫描类型,填写参数后点击运行。
说明:
点击【查看扫描记录】,可查看任务是否执行成功。
开启内存webshell检测能力后,可点击功能配置栏下的“查看检测运行状态”,了解注入情况。注入失败的设备和进程将会记录在注入失败列表中。关闭内存webshell检测后,系统将自动清除注入内容。
当系统实时监控或扫描到内存恶意代码或内存webshell时,将及时上报告警。用户可以在“告警列表”界面查看告警信息。
在“入侵检测-告警列表”中筛选告警类型为内存webshell或内存恶意代码的告警信息,点击查看告警详情。
内存恶意代码告警详情中,展示内存中存在恶意代码的进程及进程链信息,也可查看命中恶意代码的内存段信息。
检测信息:
命中进程指系统检测出的包含恶意代码的进程。
命中内存段信息:
内存段的起始地址:该段代码在内存中的位置。
权限:该内存段现有的对内存进行操作的权限。
对应文件路径:指该段代码本地存储在主机上的对应文件。由于内存后门属于无文件攻击,因此一般无对应的落地文件。
命中规则:系统判断为内存恶意代码命中的规则库。
进程链信息:包括出现恶意代码的进程及其子进程信息。
处理建议:对告警进程进程排查,确认是否为正常进程,是否为常见的杀毒软件进程,杀毒软件内置的病毒规则库也可能产生告警。确认是恶意进程进行kill处理。
内存webshell告警详情中,可查看被注入的应用及站点信息,可查看被注入的进程及进程链信息,可查看恶意的类名,支持下载class原文件并进行反编译。
检测信息:
注入进程:系统检测内存webshell前,需要对java类进程进行注入。
注入应用:指系统注入的进程所属的应用。
恶意类名:内存webshell文件所属的恶意类。
引擎检测结果:系统判断为内存webshell告警所命中的规则。
类文件信息:
恶意类文件通常被放置在项目的某个目录中,通过 Java 的类加载器加载到内存中,从而执行危险操作,比如窃取用户信息、篡改数据等。
找到内存webshell后,系统可进一步通过检查存在内存webshell的进程由哪个项目启动来找到恶意类文件,用户可查看类文件的类名、类加载器等信息。
系统会对恶意类文件进行反编译处理。若用户需要进一步对恶意文件进行分析,可下载反编译java文件或原class文件。
进程链信息:包括出现恶意代码的进程及其父进程信息。
站点信息:指系统注入的进程使用到的web服务。不同java进程可能由不同的应用服务启动。
处理建议:内存后门的特点是无文件攻击,即只有在加载到内存时才会开始运行。因此用户在处理时,可在确认该文件为恶意webshell且类文件是本地文件后,删除根源的类文件并重启;若类文件非本地文件,则可直接重启服务。
系统支持对内存后门告警进行自动和手动响应。如果希望在发现告警时能自动响应,请事先配置好自动响应策略。
进入“安全响应-自动响应”页面,创建自动响应策略,出现内存恶意代码、内存webshell指定类型的告警后,系统会自动处理,不再需要用户手动操作。
用户需首先选择主机类型后,才能进一步设置触发条件。
若希望设置对内存恶意代码的自动响应策略:
可设置的设备类型:Linux-Server、Linux-、Windows-Server、Windows-
支持的自动响应元素:进程l 支持的自动响应方式:终止进程
若希望设置对内存webshell的自动响应策略:
可设置的设备类型:Linux-Server、Windows-Server
支持的自动响应元素:进程
支持的自动响应方式:终止进程
在告警详情,用户可自主对告警信息进行手动处理。针对内存后门检测出的恶意文件,用户可参考系统给出的处理建议对告警进行处置.
对于内存恶意代码,可执行的操作包括:进程响应、加入白名单、更改处理状态。
对于内存wenshell,可执行的操作包括:响应、进程响应、加入白名单、更改处理状态。
对于危险的进程文件,用户可选择首先将进程终止。
l 终止进程:仅终止告警中产生恶意行为的进程。
l 自定义终止进程:希望对进程链上的其他进程也进行终止时,可以使用此项功能。比如告警中的进程是恶意进程,其父进程也是恶意的,此时可以将父进程和告警进程一同终止。
当出现误报时,可以将该进程加入白名单,后续将不再对该进程进行告警。
l 设置加白条件:
各个条件之间为“与”关系,即只有同时满足全部加白条件的告警才不会被上报。
系统将自动填写该条告警的进程相关信息,用户可根据需要重置、添加或删除。重置操作会使加白条件恢复为上一次保存的内容。
影响告警范围:
若选择影响过去30天的告警,将会把过去的告警标记为已加白并从告警列表中移除,用户在白名单才能被查看,同时未来的新告警也将被加白不再展示。
若选择仅影响当前及未来的告警,则白名单只对当前告警和未来新告警生效,历史告警不受影响。
系统支持对未处理的内存webshell、内存恶意代码告警进行修复验证,若发现已经被修复,系统将会自动将此告警标记为真实告警。
在告警列表中点击“手动扫描”,创建“修复验证”任务。
计算机病毒是一种由恶意编写者在计算机程序中插入的代码,能够寻找并依附于宿主程序,通过修改其他程序并将自身代码插入其中来实现自我复制。这种恶意代码通常具有传染性、隐蔽性和破坏性,会影响计算机系统的正常运行,甚至对信息和系统安全构成严重威胁。
病毒查杀功能结合多个病毒检测引擎,可实时监控运行进程和文件落盘、对静态文件进行扫描查杀,一旦发现病毒立即上报告警并进行处置。同时,系统支持本地查杀和云端查杀,确保病毒检出率的同时又能保障查杀及时性,有效帮助用户解决病毒、木马、流氓软件等安全问题,保护用户的主机安全。 监控进程运行:进程启动时,使用病毒引擎对进程文件进行查杀,发现病毒时,立即上报“恶意进程启动”告警。
监控文件落盘:满足条件的文件保存到磁盘时,使用病毒引擎对文件进程查杀,发现病毒时,立即上报“恶意文件落盘”告警。
静态文件扫描查杀:创建扫描任务,对主机上的文件进行扫描查杀,发现病毒时,立即上报“病毒文件”告警。
只有购买了“主机病毒查杀”或“终端病毒查杀”产品,且给Agent分配了“主机病毒查杀”或“终端病毒查杀”的授权,Agent主机才具有病毒防护功能。
方法2:修改Agent授权
Agent安装后,也可以修改授权信息,分配“主机病毒查杀”或“终端病毒查杀”授权,进入“探针管理-运行管理-授权配置”界面,点击【授权配置】,可修改授权,如下图所示:
一个Agent是否开启病毒查杀,可以在“探针管理-运行管理-授权配置“界面查看,也可以在检测配置页面,找到对应的平台类型,配置详情界面点击【防护主机管理】查看主机病毒查杀能力的统计。
是否安装本地病毒引擎:指该Agent是否安装本地病毒引擎。
主机病毒查杀:如果Agent为Server主机类型,则指该Agent是否授予“主机病毒查杀”授权;如果Agent为主机,则指该Agent是否授予“终端病毒查杀”授权。
页面将显示当前用户所管理的主机中,开启主机防病毒能力数、开启防病毒数、本地引擎安装统计等数据。
病毒文件查杀必须安装本地杀毒引擎。支持手动或自动安装和升级。
进入“探针管理-组件管理-引擎管理”界面,找到需要安装的主机,点击【安装】。
安装时,自动安装当前最新版本的病毒引擎。
未安装本地病毒引擎时,病毒库状态为“未安装”
l 已安装病毒引擎但未更新到最新版本时,病毒库状态为“待升级”,点击【升级】后,可免费升级到最新引擎版本。
l 已经安装最新版本引擎但Agent,病毒库状态为“最新版本”,此时,只可卸载引擎,【安装】和【升级】两个按钮置灰不可点击。
“探针管理-组件管理-引擎管理”界面,点击【设置】,打开自动安装和升级开关,对于后续新安装上线的主机,将进行自动引擎安装。引擎版本更新后,本地病毒引擎也会进行自动更新。
支持对Server主机、终端和上的进程进行病毒查杀,安装Agent并授予病毒查杀授权后,即支持恶意进程启动查杀。
支持对Server主机和终端上的文件进行落盘查杀,安装Agent并授予病毒查杀授权后,即支持恶意文件落盘查杀。
用户也可调整检测的文件类型及大小等参数。进入”检测配置“界面,对应平台类型下,找到对应配置,在配置详情找到”病毒文件查杀“一栏,“恶意文件落盘检测”下点击【检测配置】,可调整需要检测的恶意文件类型与大小等信息。
检测文件:指用户希望检测的文件类型。未选中的文件类型将不会进行检测。 文件大小:为防止主机性能过度消耗,用户可设置需检测文件的最大大小。系统默认为300M,当文件大于该数值,则不再检测。
超大可执行文件:上述的“文件大小”是指超过文件大小限制,系统将不进行病检测。但由于黑客可能会上传一个超大的文件来绕过检测,因此增加了“超过可执行文件”低危告警的设置,即:当一个可执行文件的大小达到阈值设置时,直接产生一个低危告警。
压缩包层级:系统支持对压缩包进行病毒检测。注意:若同一个压缩包中存在个病毒,将会产生多条病毒告警。对其中一个告警进行响应时,该压缩包产生的其他告警会被同时处置。为防止系统性能消耗,用户可设置所检测的压缩包最大层级数,大于该层级数的压缩包不再检测。
是否开启服务端检测:系统优先使用本地病毒引擎进行检测,当开启服务端检测开关时(默认开启),如果小的可执行文件在本地未检出,将会上传到服务端,使用服务端引擎再进行检测。
对于磁盘中可能存在的病毒文件,用户可创建扫描任务进行检测。系统支持用户进行手动单次扫描或创建自动定时扫描任务。
一个主机只能同时执行一个扫描任务,若该主机上正在进行扫描查杀,此时又下发了另外一个扫描命令,则该扫描直接查杀失败。
若主机正在执行扫描任务,此时下发了病毒库升级或卸载的命令,系统会自动终止扫描任务,优先完成病毒库的相关操作。
在检测配置页面,配置详情中,找到病毒文件查杀的扫描周期设置,点击“扫描管理”,选择“新建”
说明:
扫描类型:系统提供三种病毒查杀模式。
快速查杀:仅扫描系统关键目录下的文件。
全盘查杀:扫描全部磁盘目录下的文件。
自定义查杀:用户需填写需要查杀的目录和排除的目录,系统将只扫描用户所指定的目录。
扫描模式、扫描时长:为防止扫描任务消耗过多性能资源,用户可根据实际情况设置扫描模式和时长。
扫描周期:用户根据需求设置任务开启时间。
用户可根据需要设置扫描的文件大小范围、压缩包层级和目录层级。
在“入侵检测-告警列表”界面中,点击表格右上方的“手动扫描”,选择“病毒文件查杀”。
填写相应参数,点击“保存”,即可创建单次病毒扫描任务。
在“入侵检测-告警列表”中筛选告警类型为“恶意文件落盘”、“恶意进程启动”、“病毒文件”的告警信息,可查看病毒相关告警。
恶意进程启动的告警详情中,展示引擎检测结果,恶意进程对应的文件路径、进程链等信息。
恶意文件落盘的告警详情中,会展示引擎检测结果、恶意文件落盘的位置、由哪个进程执行落盘的、进程链等相关信息。
病毒文件的告警详情中,展示扫描到的恶意文件、引擎检测结果、恶意文件对应的文件路径等信息。
病毒相关告警,系统支持自动响应和手动响应。
进入“安全响应-自动响应”页面,可创建自动响应策略,出现恶意文件落盘、恶意进程启动、病毒文件指定类型的告警后,系统会自动处理,不再需要用户手动操作。
若希望设置对恶意文件落盘的自动响应策略:
可设置的设备类型:Linux-Server、Linux-、Windows-Server、Windows-
支持的自动响应元素:文件
支持的自动响应方式:隔离文件
若希望设置对恶意进程启动的自动响应策略:
可设置的设备类型:Linux-Server、Linux-、Windows-Server、Windows-
支持的自动响应元素:进程
支持的自动响应方式:终止进程
若希望设置对病毒文件的自动响应策略:
可设置的设备类型:Linux-Server、Linux-、Windows-Server、Windows-
支持的自动响应元素:文件
支持的自动响应方式:隔离文件
告警详情界面,可手动对恶意进程或文件进行响应。
无论是自动响应还是手动响应,每一次的响应均会记录日志,点击“安全响应-响应列表”,可查看相关的响应记录。
操作历史:记录每一次的响应,不管成功还是失败。
响应列表:记录被成功响应的元素,可对部分响应的元素进行恢复。比如被隔离的文件,可以在“文件”标签下解除隔离,或彻底删除。
当出现误报时,可进行加白处理。
告警详情界面,点击【加入白名单】,录入误报文件相关信息,如sha256等,保存后,误报告警将自动从告警列表消除,后续也不会对此文件进行病毒告警。
检测配置界面,“病毒文件查杀”下,点击【信任区设置】,可根据文件SHA256、文件后缀、目录等多个维度设置信任条件,满足信任条件的文件或目录,病毒查杀时将跳过不扫描。
纯净模式
