本文介绍通过异常事件了解每一个异常行为的详细信息,并设置处理策略。IoT安全中心基于处理策略自动响应后续的异常事件。
背景信息
IoT安全中心基于设备的行为分析,筛选存在异常的行为。异常行为可能是攻击者发起的攻击,也可能是潜伏的恶意程序。IoT安全中心从系统对象、进程行为、网络进出三个维度识别出异常事件。
操作项
操作项 | 说明 |
|---|---|
立即处理 | 该事件上报之后,管理员未做处理(没有配置相应的策略)。 |
修改策略 | 管理员已经做了处理,并配置了相应的策略,可以通过修改策略重新调整策略。 |
完整的处理策略包括匹配规则(事件)、对应的处理动作、策略应用范围。您可以根据实际业务场景设置处理策略。
只有在线设备能够接收处理策略。
离线设备需要等到下次在线时,才能接收处理策略。
触发条件
普通模式:仅针对特定的事件进行匹配。
高级模式:通过通配符设置匹配规则,事件筛选支持的通配符操作如下表所示。
匹配对象
支持的通配符
示例
文件路径或进程
单个字符用半角问号(?)表示。
同一个路径内的任一字符用星号(*)表示。
任意层路径用两个星号(**)表示。
/system/dps/etc/*IP地址
支持子网掩码。
多个IP或IP段用半角逗号(,)分隔。
一组连续的IP用短划线(-)连接。
192.168.1.0/24,192.168.2.1-192.168.2.100
处理动作
处理动作是异常事件命中安全策略时的响应动作,包括告警、阻止、允许。
告警:本次不处理,后续再发生仍然会上报为异常事件。
阻止:后续同样的事件发生时,SOC会进行阻断操作。
允许:后续同样的事件发生时,SOC不做阻断处理,并且不再上报为异常事件。
异常事件默认处理策略为告警。
异常详情
通过详情查看该异常事件的详细信息。
信息 | 说明 |
|---|---|
产品名称 | 产生该事件的设备所属产品。 |
ProductKey | 设备所属产品的ProductKey。 |
DeviceName | 产生该事件的设备名称,是设备在产品内的唯一标识符。 |
生产商 | 该设备的生产厂商。 |
产品版本 | 该产品的版本。 |
首次上报时间 | 该事件第一次发生的时间。 |
处理策略 | 针对该事件的处理方式。 说明 后续发生同样事件时,按照处理方式自动执行。 |
描述 | 事件描述信息。 |
最近10条异常上报 | 该事件最近10次发生的时间,以及每次发生时的处理结果。 |