为Agent资产配置行为管控规则后,触发的事件将记录为安全事件。本文说明如何在安全事件界面查看访问控制、异常检测及数据泄漏事件的详细记录与关联信息。
查看Agent行为管控规则产生的安全事件
进入控制台:登录云防火墙控制台。在左侧导航栏,选择 Agent 防火墙 > 安全事件。
操作前提:已在运行环境页面为目标资产开启防护,并配置了行为管控规则。其中,数据泄漏与Skill 文件威胁检测规则由系统内置,无需手动配置。
访问控制事件
进入访问控制页签,即可查看命中模型限制、网络防护或Agent外联控制规则的安全事件列表。可以通过列表上方的搜索框,利用“时间”与“Agent网络环境”来筛选特定事件。
该页面支持以下操作:
查看命中规则的事件:下方的列表会展示事件发生的详细记录,包括时间、网络环境、关联 Agent、命中的规则模块、五元组以及执行动作等信息。
查看关联 Agent 信息:定位到目标安全事件后,单击关联Agents列的
图标,即可查看对应 Agent 的名称与类型。
异常检测事件
进入异常检测页签,即可查看命中Skill 使用异常检测、Tool 调用异常检测或Skill 文件威胁检测规则的安全事件列表。
Skill & Tool 调用异常检测
进入Skill & Tool 调用异常检测页签,支持进行以下操作:
筛选安全事件:在列表上方的搜索框中,可以通过时间、规则类型、黑白名单类型、IP地址等信息来筛选事件。
查看命中规则的事件:列表会展示事件发生的详细记录,包括时间、关联 Agent、源目的 IP、规则类型以及执行动作等信息。
查看关联 Agent 信息:定位到目标安全事件后,单击关联Agents列的
图标,即可查看对应 Agent 的名称与类型。
Skill 文件威胁检测
进入Skill 文件威胁检测页签,支持进行以下操作:
筛选安全事件:在列表上方的搜索框中,可以通过时间、风险等级、Agent网络环境、IP地址等信息来筛选事件。
查看命中规则的事件:列表会展示事件发生的详细记录,包括 Skill 文件名称与类型、时间、Agent网络环境、关联 Agent、五元组以及风险等级等信息。
查看关联 Agent 信息:定位到目标安全事件后,单击关联Agents列的
图标,即可查看对应 Agent 的名称与类型。查看事件详细报告:单击目标事件操作列的查看详情,可以查看由 AI 生成的 Skill 安全检测报告,报告内容包含风险总览、漏洞详情、修复方案等。
下载事件报告:单击目标事件操作列的下载报告,即可将报告下载至本地。
数据泄漏事件
进入数据泄漏页签,即可查看命中AK/API Key泄露检测、个人信息泄露检测或敏感文件外传检测规则的安全事件列表。
敏感数据
进入敏感数据页签,支持进行以下操作:
筛选安全事件:在列表上方的搜索框中,可以通过时间、协议类型、敏感数据类型、风险等级、实例ID等信息来筛选事件。
查看命中规则的事件:列表会展示事件发生的详细记录,包括实例ID、时间、关联 Agent、风险等级、敏感等级以及敏感数据类型等信息。
查看关联 Agent 信息:定位到目标安全事件后,单击关联Agents列的
图标,即可查看对应 Agent 的名称与类型。查看敏感信息详情:单击目标事件操作列的查看详情,可以查看具体的敏感信息,包括对端的IP与端口、敏感信息具体内容以及资源标识等。
敏感文件
进入敏感文件页签,支持进行以下操作:
筛选安全事件:在列表上方的搜索框中,可以通过时间、方向、敏感数据等级、实例ID等信息来筛选事件。
查看命中规则的事件:列表会展示事件发生的详细记录,包括实例ID、IP地址、端口、时间、关联 Agent、方向、敏感等级以及敏感文件数等信息。
查看关联 Agent 信息:定位到目标安全事件后,单击关联Agents列的
图标,即可查看对应 Agent 的名称与类型。查看敏感文件的数据类型:定位到目标安全事件后,单击敏感文件数列的
图标,即可查看命中敏感数据类型 TOP5。查看敏感文件详情:单击目标事件操作列的查看详情,可以查看具体的敏感信息,包括对端的IP与端口、文件名称、文件类型以及资源标识等。单击操作列的文件详情,可查看文件中的具体敏感信息。