本文档介绍反弹 Shell 功能的事件列表。
筛选刷新事件列表
1. 登录 容器安全服务控制台,在左侧导航中,单击运行时安全 > 反弹 Shell > 事件列表,进入事件列表页面。
2. 在事件列表页面,单击搜索框,可通过“进程名称、父进程名称”等关键词对反弹 Shell 事件进行查询。
3. 在事件列表页面,单击操作栏右侧
图标,即可刷新反弹 Shell 事件列表。导出事件列表
在事件列表页面,单击
图标勾选所需的反弹 Shell 事件后,单击
图标即可导出反弹 Shell 事件。说明
可单击
图标勾选多个反弹 Shell 事件后,单击
图标可进行批量导出。
事件状态处理
在事件列表页面,可对反弹 Shell 事件列表进行标记已处理、忽略和删除处理。
标记已处理:单击
图标勾选反弹 Shell 事件后,单击标记已处理 > 确定,即可将选中事件标记已处理。说明
建议您参照事件详情中的“解决方案”,人工对该事件风险进行处理,可将事件标记为已处理。
忽略:单击
图标勾选所需的反弹 Shell 事件后,单击忽略 > 确定,即可将选中事件忽略。说明
仅将已选事件进行忽略,若再有相同事件发生依然会进行告警。
删除:单击
图标勾选所需的反弹 Shell 事件后,单击删除 > 确定,即可将选中事件删除。注意
删除已选事件记录,控制台将不再显示,无法恢复记录,请慎重操作。
查看列表详情
1. 在事件列表页面,单击事件类型左侧
图标,可查看事件描述。
2. 在事件列表页面,单击“容器名称/ID ”或“镜像名称/ID”,可跳转至对应的资产管理列表。
3. 在事件列表页面,单击查看详情,右侧抽屉展示事件详细信息,包括告警事件详情、进程信息、父进程信息和事件描述。
4. 在事件列表页面,事件状态包含已处理、已忽略、待处理。可对不同状态的事件进行以下操作:
已处理/已加白:单击删除,并在弹窗中进行二次确认删除,可将事件删除。
说明
删除该事件记录,控制台将不再显示,无法恢复记录,请慎重操作。
待处理:单击立即处理,可将事件标记为已处理、忽略、删除和添加白名单,详情请参见 事件状态处理。
隔离容器:单击隔离容器,可将事件标记为已隔离。若您确认隔离该容器,系统将禁止该容器的网络通信并将事件标记为已处理,请谨慎操作。隔离后,可在更多操作或容器资产列表中解除隔离。
已忽略:单击取消忽略或删除,可将事件变为待处理或删除。
自定义列表管理
1. 在事件列表页面,单击
图标,弹出自定义列表管理弹窗,在弹窗中可以自定义设定列表管理。2. 在自定义列表管理弹窗,选择所需的类型后,单击确定,即可完成设置自定义列表管理。
列表重点字段说明
1. 首次生成时间:该 Shell 反向连接事件首次触发告警的时间。
说明
系统默认对未处理的相同告警事件进行聚合。
2. 最近生成时间:聚合的告警事件最近触发告警的时间。可单击右侧排序按钮对列表事件按时间正序和时间反序进行排列。
3. 事件数量:聚合时间范围内该 Shell 反向连接事件触发告警的总数量。
4. 状态:包括已处理、已忽略、未处理、已加白,支持按状态对列表事件进行快速筛选。