异常事件展现了每一个异常事件的详细信息,针对每一个异常事件提供了操作处置选项。

  • 系统行为
  • 进程行为
  • 网络行为

事件处理

管理员可以根据实际应用场景进行处理,包括告警、阻止、允许。

  • 告警:本次不处理,后续再发生仍然会上报为异常事件。
  • 阻止:后续同样的事件发生时,SOC会进行阻断操作。
  • 允许:后续同样的事件发生时,SOC不做阻断处理且不再上报为异常事件。

异常事件-系统对象



异常事件-进程行为



异常事件-网络行为



修改策略

异常事件上报后初始操作为”立即处理“,无论您在“立即处理”中执行了哪些操作,都可以通过“修改策略”重新设定针对某类事件(符合策略匹配对象、应用范围)的处理动作。



匹配对象支持通配符操作:

匹配对象 支持的通配符 示例
文件路径或进程
  • 单个字符用?表示;
  • 同一个路径内的任一字符用*表示;
  • 任意层路径用**表示;
/system/dps/etc/*
IP地址
  • 支持子网掩码;
  • 多个IP/IP段用逗号,分隔;
  • 一组连续的IP用短横线-连接。
192.168.1.0/24,192.168.2.1-192.168.2.100

操作项状态:

操作项 说明
立即处理 该事件上报之后,管理员未做处理(没有配置相应的策略)
修改策略 管理员已经做了处理,并配置了相应的策略,可以通过“修改策略”重新调整策略。

详情

通过“详情”查看该异常事件的详细信息:



信息 说明
产品名称 产生该事件的设备是属于哪一个产品
ProductKey 该产品的ProductKey值
DeviceName 产生该事件的设备的DeviceName,标识一台唯一的设备
生产商 该设备的生产厂商
产品版本 该产品的版本
首次上报时间 该事件第一次发生的时间点
处理策略 针对该事件的处理方式(后续同样事件发生时,按照处理方式自动执行)
描述 提供更多的事件信息,帮助管理员配置合适的处理策略
最近10条异常上报 该事件最近10次发生的时间点,以及每次发生时的处理结果