查看和处理/批量处理主机异常事件

操作步骤

1. 登录安骑士管理控制台。
2. 在左侧导航栏选择入侵检测 > 主机异常。
3. 在主机异常列表中查看或搜索所有检测到的主机入侵和威胁告警及其详细信息。

   您可在主机异常列表页面进行以下操作：

   • 通过输入告警名称或受影响的资产名称来搜索相关的告警事件。
     
     
   • 将主机异常威胁文件加入文件隔离箱：确认主机异常警信息后，单击该操作可将威胁文件加入文件隔离箱。被隔离的文件将无法对主机造成威胁，详细信息参见文件隔离箱。
     说明 安骑士只支持对 网站后门文件进行隔离操作。您可定位到 入侵检测 > 网站后门页面对 网站后门文件进行隔离。
     说明 被成功隔离的文件在30天内可执行一键恢复，过期后系统将自动清除该文件。
   • 确认线下处理：确认告警并线下进行处理后，单击该操作后该告警状态将变为已处理。
     
     
   • 忽略本次：忽略本次告警，该告警状态将变为已处理，后续安骑士不会再对该事件进行告警。
   • 标记为误报：标记本次告警为误报后该告警状态将变为已处理，后续安骑士不会再对该事件进行告警。您可以在已处理列表中定位到该事件对其进行取消标记误报的操作。
     说明 告警误报是指系统对正常程序进行告警。常见的告警误报有 对外异常TCP发包可疑进程，提示您服务器上有进程在对其他设备发起了疑似扫描行为。

批量处理告警事件

您也可以通过 主机异常列表左下角的批量处理工具栏对多个告警事件进行批量处理。