产品动态

产品简介

产品概述

产品优势

应用场景

功能介绍与版本对比

购买指南

试用申请

购买专业版

购买镜像扫描

购买日志分析

快速入门

操作指南

安全概览

资产管理

漏洞管理

镜像风险管理

集群风险管理

基线管理

运行时安全

高级防御

策略管理

防护开关

告警设置

日志分析

混合云安装指引

失陷容器隔离说明

日志字段数据解析

实践教程

镜像漏洞扫描和漏洞管理

故障处理

Linux 客户端离线排查

集群接入排查

API 文档

History

Introduction

API Category

Making API Requests

Network Security APIs

Cluster Security APIs

Security Compliance APIs

Runtime security - High-risk syscalls

Runtime Security - Reverse Shell APIs

Runtime Security APIs

Alert Settings APIs

Advanced prevention - K8s API abnormal requests

Asset Management APIs

Security Operations - Log Analysis APIs

Runtime Security - Trojan Call APIs

Runtime Security - Container Escape APIs

Image Security APIs

Billing APIs

Data Types

Error Codes

常见问题

TCSS 政策

隐私政策

数据处理和安全协议

联系我们

词汇表

事件列表

PDF

聚焦模式

字号

最后更新时间： 2024-01-23 15:44:44

异常进程是基于自适应学习技术，通过系统规则和用户自定义检测规则，实时监控进程异常启动行为，并实时告警通知或拦截。异常进程包含事件列表和规则配置两大模块。本文档介绍高级防御的事件列表功能。
筛选刷新事件列表
1. 登录 容器安全服务控制台，在左侧导航中，单击高级防御 > 异常进程 > 事件列表，进入事件列表页面。
2. 在事件列表页面，单击搜索框，可通过“连接进程”关键词对白名单事件进行查询。
﻿
﻿
3. 在事件列表页面，单击操作栏右侧
﻿
图标，即可刷新事件列表。
导出事件列表
1. 登录 容器安全服务控制台，在左侧导航中，单击高级防御 > 异常进程 > 事件列表，进入事件列表页面。
2. 在事件列表页面，单击
﻿
图标勾选所需的异常进程事件后，单击
﻿
图标即可导出异常进程事件。
说明：
 单击操作栏处
﻿
图标，可进行批量勾选。
﻿
﻿
﻿
事件状态处理
登录 容器安全服务控制台，在左侧导航中，单击高级防御 > 异常进程 > 事件列表，进入事件列表页面。
方式1
在事件列表页面，可对异常进程事件进行标记已处理、忽略和删除处理。
标记已处理：单击
﻿
图标勾选所需的异常进程事件后，单击标记已处理>确定，即可将选中事件标记已处理。
说明：
 建议您参照事件详情中的“解决方案”，人工对该事件风险进行处理，可将事件标记为已处理。
忽略：单击
﻿
图标勾选所需的异常进程事件后，单击忽略>确定，即可将选中事件忽略。
说明：
 仅将已选事件进行忽略，若再有相同事件发生依然会进行告警。
删除：单击
﻿
图标勾选所需的异常进程事件后，单击删除>确定，即可将选中事件删除。
注意：
  删除已选事件记录，控制台将不再显示，无法恢复记录，请慎重操作。
方式2
1. 在事件列表页面，事件状态为待处理时，单击立即处理，可选择将事件状态设置为添加白名单、标记已处理和忽略等。
﻿
﻿
2. 单击确定或取消，即可完成或取消事件状态更改。
﻿
﻿
3. 在事件列表页面，事件状态为已忽略时，可单击取消忽略或删除，可将事件取消忽略或删除。
说明：
取消忽略后，该事件状态将变更为待处理，需单击确定进行二次确认。
删除该事件记录，控制台将不再显示，无法恢复记录，请慎重操作。
4. 在事件列表页面，事件状态为已处理时，可单击删除，删除该事件。
说明：
 删除该事件记录，控制台将不再显示，无法恢复记录，请慎重操作。
查看事件详情
1. 登录 容器安全服务控制台，在左侧导航中，单击高级防御 > 异常进程 > 事件列表，进入事件列表页面。
2. 在事件列表页面，单击进程路径左侧
﻿
	图标，可查看事件描述。
﻿
﻿
3. 在事件列表页面，单击查看详情，右侧弹出事件详情页面。
﻿
﻿
4. 在事件详情页面，展示了事件详情、进程信息、父进程信息和事件描述。并可对该事件进行标记已处理、忽略和加白等操作。
说明：
 标记已处理、忽略和删除：相应操作处理请参考 事件状态处理。
5. 在事件详情页面，单击加白进入复制规则页面，需配置基本信息、配置规则和镜像生效范围。
﻿
﻿
基本信息：输入事件的规则名称，单击
﻿
图标开启或关闭规则检查。
说明：
 关闭后，将不再进行该规则检测！
﻿
配置规则：需输入进程路径和执行动作。单击添加或删除，可进行添加或删除规则。	
镜像范围：全部镜像和自选镜像。其中单击所需的自选镜像
﻿
或
﻿
图标，即可选中或删除自选镜像。
说明：
 支持按住 shift 键进行多选。
﻿

6. 选择所需内容后，单击设置或取消，即可完成或取消设置。
自定义列表管理
1. 登录 容器安全服务控制台，在左侧导航中，单击高级防御 > 异常进程 > 事件列表，进入事件列表页面。
2. 在事件列表页面，单击
﻿
图标，弹出自定义列表管理弹窗，在弹窗中可以自定义设定列表管理。
3. 在自定义列表管理弹窗，选择所需的类型后，单击确定，即可完成设置自定义列表管理。
﻿
﻿
列表重点字段说明
1. 首次生成时间：该异常进程事件首次触发告警的时间。系统默认对未处理的相同告警事件进行聚合。
2. 最近生成时间：聚合的告警事件最近触发告警的时间。可单击右侧排序按钮对列表事件按时间正序和时间反序进行排列。
3. 事件数量：聚合时间范围内该异常进程事件触发告警的总数量。
4. 动作执行结果：包括拦截成功、拦截失败、放行、告警，支持按动作执行结果对列表事件进行快速筛选。
5. 状态：包括已处理、已忽略、未处理、已加白，支持按状态对列表事件进行快速筛选。