Situation Awareness Service全面和即時監測您資產的安全狀況,可對常見網路入侵行為進行檢測和提供高準確性的警示。

功能描述

安全警示包含以下類型的網路入侵行為:

  • 進程異常行為:檢測資產中是否存在超出正常執行流程的行為。
  • 網站後門:使用自主查殺引擎檢測常見後門檔案,支援定期查殺和即時防護,並提供一鍵隔離功能。
    • Web目錄中檔案發生變動會觸發動態檢測,每日淩晨掃描整個Web目錄進行靜態檢測。
    • 支援針對網站後門檢測的資產範圍配置。
    • 對發現的木馬檔案支援隔離、恢複和忽略。
  • 異常登入:檢測伺服器上的登入行為,通過設定合法登入IP、時間及帳號,對於例外的登入行為進行警示。支援手動添加和自動更新常用登陸地,對指定資產的異地登陸行為進行警示。
  • 例外狀況事件:程式運行過程中發生的異常行為。
  • 敏感檔案篡改:對伺服器中的敏感檔案進行惡意修改。
  • 主機異常:查看在您伺服器檢測到的異常進程行為、敏感檔案篡改、異常網路連接、例外狀況事件和可疑檔案等。
  • 惡意進程(病毒雲查殺):採用雲+端的查殺機制,對伺服器進行即時檢測,並對檢測到的病毒檔案提供即時警示。您可通過控制台對病毒程式進行處理。
  • 異常網路連接:網路顯示斷開或不正常的網路連接狀態。
  • 異常帳號:非合法登陸帳號。
  • 其他:DDoS流量攻擊等網路入侵行為。

查看和處理安全警示

參照以下步驟,查看和處理伺服器上的網路入侵:

  1. 登入Situation Awareness Service控制台
  2. 在左側導覽列,選擇安全警示
  3. 在事件列表中查看所有檢測到的網路入侵。
  4. 使用搜尋和頁簽篩選功能可以快速定位到特定事件。例如,您可以使用伺服器IP或名稱、事件名稱搜尋相關事件。
  5. 對不同警示事件執行相應處理。
    • 查看:查看警示事件詳情和操作建議。
    • 確認線下處理:確認警示併線下進行處理後,單擊該操作,將該記錄從列表中移除。
    • 忽略本次:忽略本次警示,將該記錄從列表中移除。
    • 標記為誤判:標記本次警示為誤判,將該記錄從列表中移除。
      说明 警示誤判是指系統對正常程式進行警示。常見的警示誤判有對外異常TCP發包可疑進程,提示您伺服器上有進程在對其他裝置發起了疑似掃描行為。
    • 木馬線上處理(僅限網站後門):確認警示並決定直接隔離後門檔案時,單擊該操作,將後門檔案加入隔離箱。被隔離檔案可在頁面右上方的檔案隔離箱中查看。
      说明 被成功隔離的檔案在30天內可執行一鍵恢複,到期後系統將自動清除該檔案。

一鍵匯出事件列表

您可以點擊事件列表頁面右上方的匯出按鈕,一鍵匯出所有安全警示事件的詳細資料。

安全警示設定

安全警示設定支援手動維護常用登入地和Web目錄,也允許您設定安全警示等級範圍和配置進階登入警示功能。
说明 進階登入警示只有在企業版服務中提供,允許您配置更精細的異常登入檢測,例如設定合法登入的IP、時間、帳號。在Situation Awareness Service控制台總覽頁面查看您的伺服器是否屬於企業版

參照以下步驟,進行安全警示設定:

  1. 登入Situation Awareness Service控制台
  2. 在左側導覽列,選擇安全警示
  3. 單擊頁面右上方安全警示設定,完成以下配置:
    • 添加常用登入地
      1. 單擊常用登入地右側的添加按鈕。
      2. 選擇要添加的常用登入地點,然後選擇添加應用的伺服器。
      3. 單擊確認,完成添加。

      您可以編輯刪除已成功添加的常用登入地。

      • 單擊一個常用登入地下的編輯,修改該登入地的生效伺服器。
      • 單擊一個常用登入地下的刪除,刪除該常用登入地配置。
    • 配置進階登入警示
      说明 使用進階登入警示,您可以進一步指定合法的登入IP、時間段、和帳號,Situation Awareness Service會對指定外的登入情形進行警示。以下功能的操作類似常用登入地配置,您可以參考上文進行添加編輯刪除
      • 單擊合法登入IP右側的切換開關,開啟/關閉登入IP檢查,開啟後通過非指定IP登入會觸發警示。
      • 單擊合法登入時間右側的切換開關,開啟/關閉登入時間檢查,開啟後在非指定時間登入會觸發警示。
      • 單擊合法帳號右側的切換開關,開啟/關閉登入帳號檢查,開啟後使用非指定帳號登入會觸發警示。
    • 自訂Web目錄

      Situation Awareness Service會自動檢測您伺服器資產中的Web目錄,並進行動態檢測和靜態掃描;您也可以手動添加伺服器中的其它Web目錄進行檢測掃描。

      1. 單擊Web目錄定義下的添加
      2. 輸入一個合法的Web路徑,然後選擇生效伺服器,該路徑將被添加為掃描路徑的伺服器。
        说明 出於效能效率考慮,不支援直接添加root目錄作為Web目錄。
      3. 單擊確認,完成添加。
    • 設定安全警示等級範圍

      安全警示設定頁面最下方,勾選安全警示等級範圍對需要在警示頁面顯示的安全事件等級範圍進行篩選。

      安全警示等級範圍包括:
      • 緊急:存在駭客成功攻擊的安全事件,如惡意進程運行,發生拒絕服務等。
      • 可疑:可能發生入侵行為的安全時間,如ECS異地登陸等。
      • 提醒:需要確認的安全事件,如建立新帳號等。