文档首页 > > 用户指南> 威胁告警> 告警列表> 异常行为

异常行为

分享
更新时间: 2019/11/13 GMT+08:00

异常行为(Abnormal Behavior)主要指在主机中发生了一些不应当出现的事件。例如,某用户在非正常时间成功登录了系统,一些文件目录发生了计划外的变更,进程出现了非正常的行为等。这些异常的行为事件很多是有恶意程序在背后作乱。所以在发生这类异常行为时,管理员应当引起重视。态势感知中的异常行为数据主要来源于主机安全服务。

态势感知支持检测3种子类型的异常行为威胁,基础版不支持检测异常行为威胁,专业版支持检测全部子类型威胁。

当检测到异常行为类威胁时,各子类型威胁处理建议参见表1

表1 异常行为类威胁处理建议

威胁告警名称

告警等级

威胁说明

处理建议

文件目录变更监测事件

提示

检测到ECS实例的关键文件被更改。

建议登录企业主机安全管理控制台处理。

系统成功登录审计事件

提示

检测到ECS实例已异常成功登录。

建议登录企业主机安全管理控制台处理。

进程异常行为

低危

检测到ECS实例存在进程异常行为,

疑似恶意程序。

建议登录企业主机安全管理控制台处理。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区