查看文件变更事件

操作场景

当主机或容器节点开启企业主机安全专业版及以上版本的防护后，企业主机安全会实时监控关键文件或目录的完整性。一旦检测到未经授权的文件更改操作，会立即上报文件变更告警事件，帮助您及时了解文件变更情况，发现潜在的恶意行为。

查看文件变更事件

1. 登录企业主机安全控制台。
2. 在控制台左上角，单击图标，选择区域或项目。
3. 在左侧导航栏选择“主机防御 > 文件完整性管理”，进入文件完整性管理界面，查看主机或容器文件变更事件。
   图1 文件变更事件
   

4. 单击事件类型名称，查看事件详情。

   事件类型包括“关键文件变更”和“文件/目录变更”两类，这两类事件的检测范围由“文件保护”策略中的“关键文件完整性检测”和“关键文件目录变更检测”分别设定。查看或配置“文件保护”策略的操作详情请参见配置策略。

   图2 事件详情
   

5. 根据事件详情中的“调查取证”信息，判断并处理事件。
   • 正常修改文件或目录事件
     您可以忽略或加白正常事件。

     1. 在事件详情页面的右下方，单击“忽略”或“加入告警白名单”。
     2. 在“处理告警事件”页面中，配置批量处理、白名单规则以及备注描述。
        • 白名单规则：处理方式为“加入告警白名单”时可单击“新增规则”，自定义配置告警白名单命中规则。默认情况下HSS会自动根据事件摘要自动填充规则，您可以根据实际情况修改，当HSS检测到的告警事件相等或包含您填写的规则信息时，HSS不会告警。
        • 批量处理：如需同时处理重复告警，可勾选。
        • 备注描述：如需记录告警处理人或特殊说明可备注。
     3. 单击“确定”。处理事件。
   • 恶意程序修改文件或目录事件
     1. 查看并确认主机、容器是否同时存在有反弹shell、异常登录或恶意软件等高危告警，如果有，主机、容器可能被攻破，请立刻对主机、容器进行安全排查。
     2. 排查完毕后，在事件详情页面的右下方，单击“我已手动处理”。
     3. 在“处理告警事件”页面中，配置批量处理以及备注描述。
        • 批量处理：如需同时处理重复告警，可勾选。
        • 备注描述：如需记录告警处理人或特殊说明可备注。
     4. 单击“确定”，关闭该事件。