查看文件变更记录

查看文件变更概况

1. 登录企业主机安全控制台。
2. 在控制台左上角，单击图标，选择区域或项目。
3. 在左侧导航栏选择“主机防御 > 文件完整性管理”，进入文件完整性管理界面，查看文件变更概况。

   可选择目标企业项目进行筛选。

   图1 进入文件管理界面
   

   表1 文件变更概况参数说明

   参数名称	参数说明
   服务器统计	存在文件变更的服务器数量统计。
   变更统计	总变更数：文件变更总次数。 变更文件次数：文件变更总次数。
   变更类别	修改：修改文件的总数量。 新增：新增文件的总数量。 删除：删除文件的总数量。

查看单个服务器文件变更记录

1. 在云服务器列表中，可查看服务器对应的文件、注册表变更数量和最后变更时间。
   图2 云服务器列表
   

2. 单击服务器名称进入服务器变更详情页，可查看单个服务器的文件变更详细记录。
   图3 查看单个服务器文件变更记录
   

   表2 服务器文件变更参数说明

   参数名称	参数说明	取值样例
   文件	发现变更的文件名称。	du
   路径	发现变更文件所在的路径。	-
   变更内容	变更的情况描述。 鼠标放置变更内容可查看详情。	-
   变更类型	文件	文件
   变更类别	变更文件的类别。 新增 修改 删除	修改
   最后变更时间	目标文件最后一次发生变更的时间。	-

查看全量服务器文件变更记录

在变更文件列表中，可查看所有文件变更记录，参数说明可参见表2。

图4 查看变更文件

文件变更处置建议

文件完整性管理界面会一直保留文件变更记录（服务器一直开启HSS防护的情况下），方便您回溯取证攻击者的行为活动。当您在文件完整性管理界面查看到文件变更记录时，请及时确认该文件的变更是否为异常事件。

• 确认文件变更事件是异常事件，建议您在确认对业务无影响的情况下，手动阻断相关进程并隔离对应文件。
• 确认文件变更事件是正常业务操作，您可以进行忽略，或修改文件完整性监控范围，修改监控范围请参见配置策略中“文件保护”策略的“关键文件完整性检测”部分。

当有文件变更时会同步触发“文件/目录变更”告警，建议您同步处理告警。具体操作如下：

1. 在“文件完整性管理”页面，确认存在文件变更的服务器，复制服务器名称。
2. 在左侧导航栏选择“检测与响应 > 安全告警事件”，进入安全告警事件页面。
3. 在“主机安全告警”页签，选择“告警类型”为“系统异常行为 > 文件/目录变更”的告警。
4. 在右侧搜索栏中，通过服务器名称搜索到该服务器存在的“文件/目录变更”告警事件。
5. 单击告警名称查看告警详情，结合在“文件完整性管理”界面查看到的文件变更信息，判断文件变更事件是否是异常事件。
6. 确认完成后，可在告警详情页面下方单击处理方式。
   告警处理后，仅影响是否告警，文件完整性管理界面的变更记录会一直保留。

   1. 我已手动处理：表示您已经手动阻断相关进程并隔离对应的文件，风险已不存在。
   2. 忽略：表示文件变更无影响，可忽略告警。
   3. 加入告警白名单：表示文件变更为正常业务操作导致，需要加入告警白名单，无需告警。