全部产品

异常事件

IoT安全中心基于设备的行为分析筛选出存在异常的行为,这些行为可能是攻击者发起攻击的前奏,也可能是潜伏恶意程序开始动作的表现。IoT安全中心从系统对象、进程行为、网络进出三个维度识别出异常事件。您可以通过异常事件掌握每一个异常行为的详细信息并设置处理策略。IoT安全中心基于处理策略自动响应后续的异常事件。

操作项状态:

操作项说明
立即处理该事件上报之后,管理员未做处理(没有配置相应的策略)
修改策略管理员已经做了处理,并配置了相应的策略,可以通过“修改策略”重新调整策略。

完整的处理策略包括匹配规则(事件)、对应的处理动作、策略应用范围。您可以根据实际业务场景设置处理策略。

触发条件

  • 普通模式:只针对特定的事件进行匹配;
  • 高级模式:您可以通过通配符设置匹配规则,事件筛选支持的通配符操作:
匹配对象支持的通配符示例
文件路径或进程
  • 单个字符用?表示;
  • 同一个路径内的任一字符用*表示;
  • 任意层路径用**表示;
/system/dps/etc/*
IP地址
  • 支持子网掩码;
  • 多个IP/IP段用逗号,分隔;
  • 一组连续的IP用短横线-连接。
192.168.1.0/24,192.168.2.1-192.168.2.100

处理动作

处理动作是异常事件命中安全策略时的响应动作,包括告警、阻止、允许。

  • 告警:本次不处理,后续再发生仍然会上报为异常事件。
  • 阻止:后续同样的事件发生时,SOC会进行阻断操作。
  • 允许:后续同样的事件发生时,SOC不做阻断处理且不再上报为异常事件。
说明

异常事件默认处理策略为:告警。

应用范围

处理动作对于特定的设备生效还是特定产品的所有设备均生效。

说明

只有在线的设备能够接收处理策略,离线设备要等到下次在线时才能接收处理策略。

异常详情

image.png

通过“详情”查看该异常事件的详细信息:

信息说明
产品名称产生该事件的设备是属于哪一个产品
ProductKey该产品的ProductKey值
DeviceName产生该事件的设备的DeviceName,标识一台唯一的设备
生产商该设备的生产厂商
产品版本该产品的版本
首次上报时间该事件第一次发生的时间点
处理策略针对该事件的处理方式(后续同样事件发生时,按照处理方式自动执行)
描述提供更多的事件信息,帮助管理员配置合适的处理策略
最近10条异常上报该事件最近10次发生的时间点,以及每次发生时的处理结果