异常事件展现了每一个异常事件的详细信息,针对每一个异常事件提供了操作处置选项。
- 系统行为
- 进程行为
- 网络行为
事件处理
管理员可以根据实际应用场景进行处理,包括告警、阻止、允许。
- 告警:本次不处理,后续再发生仍然会上报为异常事件。
- 阻止:后续同样的事件发生时,SOC会进行阻断操作。
- 允许:后续同样的事件发生时,SOC不做阻断处理且不再上报为异常事件。
异常事件-系统对象
异常事件-进程行为
异常事件-网络行为
修改策略
异常事件上报后初始操作为”立即处理“,无论您在“立即处理”中执行了哪些操作,都可以通过“修改策略”重新设定针对某类事件(符合策略匹配对象、应用范围)的处理动作。
匹配对象支持通配符操作:
匹配对象 | 支持的通配符 | 示例 |
---|---|---|
文件路径或进程 |
|
/system/dps/etc/* |
IP地址 |
|
192.168.1.0/24,192.168.2.1-192.168.2.100 |
操作项状态:
操作项 | 说明 |
---|---|
立即处理 | 该事件上报之后,管理员未做处理(没有配置相应的策略) |
修改策略 | 管理员已经做了处理,并配置了相应的策略,可以通过“修改策略”重新调整策略。 |
详情
通过“详情”查看该异常事件的详细信息:
信息 | 说明 |
---|---|
产品名称 | 产生该事件的设备是属于哪一个产品 |
ProductKey | 该产品的ProductKey值 |
DeviceName | 产生该事件的设备的DeviceName,标识一台唯一的设备 |
生产商 | 该设备的生产厂商 |
产品版本 | 该产品的版本 |
首次上报时间 | 该事件第一次发生的时间点 |
处理策略 | 针对该事件的处理方式(后续同样事件发生时,按照处理方式自动执行) |
描述 | 提供更多的事件信息,帮助管理员配置合适的处理策略 |
最近10条异常上报 | 该事件最近10次发生的时间点,以及每次发生时的处理结果 |