阿里云首页 IoT安全中心

异常事件

本文介绍通过异常事件了解每一个异常行为的详细信息,并设置处理策略。IoT安全中心基于处理策略自动响应后续的异常事件。

背景信息

IoT安全中心基于设备的行为分析,筛选存在异常的行为。异常行为可能是攻击者发起的攻击,也可能是潜伏的恶意程序。IoT安全中心从系统对象、进程行为、网络进出三个维度识别出异常事件。

操作项

操作项

说明

立即处理

该事件上报之后,管理员未做处理(没有配置相应的策略)。

修改策略

管理员已经做了处理,并配置了相应的策略,可以通过修改策略重新调整策略。

完整的处理策略包括匹配规则(事件)、对应的处理动作、策略应用范围。您可以根据实际业务场景设置处理策略。

说明
  • 只有在线设备能够接收处理策略。

  • 离线设备需要等到下次在线时,才能接收处理策略。

触发条件

  • 普通模式:仅针对特定的事件进行匹配。

  • 高级模式:通过通配符设置匹配规则,事件筛选支持的通配符操作如下表所示。

    匹配对象

    支持的通配符

    示例

    文件路径或进程

    • 单个字符用半角问号(?)表示。

    • 同一个路径内的任一字符用星号(*)表示。

    • 任意层路径用两个星号(**)表示。

    /system/dps/etc/*

    IP地址

    • 支持子网掩码。

    • 多个IP或IP段用半角逗号(,)分隔。

    • 一组连续的IP用短划线(-)连接。

    192.168.1.0/24,192.168.2.1-192.168.2.100

处理动作

处理动作是异常事件命中安全策略时的响应动作,包括告警、阻止、允许。

  • 告警:本次不处理,后续再发生仍然会上报为异常事件。

  • 阻止:后续同样的事件发生时,SOC会进行阻断操作。

  • 允许:后续同样的事件发生时,SOC不做阻断处理,并且不再上报为异常事件。

说明

异常事件默认处理策略为告警。

异常详情

通过详情查看该异常事件的详细信息。

image.png

信息

说明

产品名称

产生该事件的设备所属产品。

ProductKey

设备所属产品的ProductKey。

DeviceName

产生该事件的设备名称,是设备在产品内的唯一标识符。

生产商

该设备的生产厂商。

产品版本

该产品的版本。

首次上报时间

该事件第一次发生的时间。

处理策略

针对该事件的处理方式。

说明

后续发生同样事件时,按照处理方式自动执行。

描述

事件描述信息。

最近10条异常上报

该事件最近10次发生的时间,以及每次发生时的处理结果。