更新时间:2024-06-11 GMT+08:00

异常行为

告警类型说明

异常行为(Abnormal Behavior)主要指在主机中发生了一些不应当出现的事件。例如,某用户在非正常时间成功登录了系统,一些文件目录发生了计划外的变更,进程出现了非正常的行为等。这些异常的行为事件很多是有恶意程序在背后作乱。所以在发生这类异常行为时,应当引起重视。态势感知中的异常行为数据主要来源于主机安全服务和Web应用防火墙服务。

态势感知支持检测21种子类型的异常行为威胁,基础版不支持检测异常行为类威胁,标准版支持检测7种子类型威胁,专业版支持检测全部子类型威胁(其中有7种类型需要购买Web应用防火墙,11种类型需要购买主机安全服务)。

处理建议

当检测到异常行为类威胁时,各子类型威胁处理建议参见表1

表1 部分异常行为类威胁处理建议

威胁告警名称

告警等级

威胁说明

处理建议

文件目录变更监测事件

提示

检测到ECS实例的关键文件被更改。

建议登录企业主机安全管理控制台处理。

系统成功登录审计事件

提示

检测到ECS实例已异常成功登录。

建议登录企业主机安全管理控制台处理。

进程异常行为

低危

检测到ECS实例存在进程异常行为,疑似恶意程序。

建议登录企业主机安全管理控制台处理。