为了您的资产安全,建议您及时查看和处理云安全中心检测出的安全告警。本文介绍如何查看和处理安全告警。
查看安全告警
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在安全告警处理页面,查看安全告警。
说明告警名称列标记已防御,表示病毒文件的恶意进程已被云安全中心实时拦截,当前已无法对您的业务造成危害,建议您尽快隔离相应病毒文件。
告警名称列标记严格模式,表示服务器的告警检测模式为严格模式。严格模式下,云安全中心会检测出更多的可疑行为告警,但会存在一定的误报风险。更多信息,请参见主机防护设置。
处理安全告警
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在安全告警处理页面定位到目标告警,在操作列单击处理,选择告警的处理方式,然后单击立即处理。
说明不同类型告警支持的处理方式不同,请以控制台页面显示为准。
您可以根据实际需要填写备注信息,备注可填写处置告警的原因和操作人,以方便您管理已处理告警。
处理方式
说明
病毒查杀
选择病毒查杀,您可以选择关闭该病毒的进程并隔离源文件,病毒样本被隔离后,将无法对业务产生危害。
如果您确认该告警信息有效,可以手动选择以下选项进行处理:
结束该进程的运行:直接结束该进程的运行。
结束进程并隔离源文件:将病毒文件加入查看和恢复隔离文件,被隔离的文件将无法对服务器造成安全威胁。
警告如果业务相关文件被加入了恶意代码片段,则该文件被隔离可能会影响业务正常运行。建议您在执行隔离操作前,确保被隔离文件对业务的影响是可控的。
被成功隔离的文件在30天内可执行一键恢复,恢复的文件将重新回到安全告警列表中,由云安全中心继续对该文件进行监测。文件隔离30天后云安全中心会自动清除该文件。
加白名单
如果告警为误报,您可以将本次告警加入白名单,并设置加入白名单的规则。例如,在处理渗透工具利用行为的告警时,选择加白名单后,您设置了命令行包含aa的加白规则,则该告警状态将变为已处理,后续云安全中心不会再对命令行包含aa的渗透工具利用行为进行告警。您可以在已处理告警列表中定位到该事件对其进行取消白名单的操作。
说明加白名单操作仅对当前告警和您设置的白名单规则进行加白。执行加入白名单操作后,针对您加入白名单的事件和设置的白名单规则,云安全中心都不会再产生对应的安全告警。云安全中心支持加入白名单的对象详情,请参见安全告警可以将哪些对象加入白名单。
告警误报是指系统对正常程序进行告警。常见的告警误报有对外异常TCP发包可疑进程,提示您服务器上有进程在对其他设备发起了疑似扫描行为。
忽略
选择忽略,该告警状态将更新为已忽略,当相同告警再次发生时,云安全中心将再次告警。
说明如果您已确认一个或多个告警事件需要忽略或为误报,可在安全告警处理页面的告警事件列表中,选中一个或多个告警事件,单击列表下方的忽略本次或加白名单进行处理。
深度查杀
深度查杀由云安全中心安全专家团队经过对该持久化、顽固型病毒进行深度分析、测试后,推出的专项查杀能力,该操作可能存在风险,您可以单击该功能下的查看详情,查看并确认待清除列表信息。该处理方式还提供创建快照功能,您还可以通过创建快照备份数据,以便深度查杀清除有用数据时,可以通过快照恢复被清除数据。
隔离
选择隔离,网站后门文件将被隔离到文件隔离箱,将无法对业务产生危害。
警告如果业务相关文件被加入了恶意代码片段,则该文件被隔离可能会影响业务正常运行。建议您在执行隔离操作前,确保被隔离文件对业务的影响是可控的。
被成功隔离的文件在30天内可执行一键恢复,恢复的文件将重新回到安全告警列表中,由云安全中心继续对该文件进行监测。文件隔离30天后云安全中心会自动清除该文件。
阻断
选择阻断,云安全中心将生成安全组防御规则,您需要配置规则有效期,拦截该恶意IP的访问。
结束进程
云安全中心将尝试结束该进程的运行。
问题排查
选择问题排查,云安全中心的客户端问题诊断程序将在本机采集与客户端相关的网络、进程、日志等数据上报云安全中心进行分析,检查期间会占用一定的CPU和内存。
问题排查支持以下两种模式:
常规模式
常规模式将收集客户端相关日志数据上报至云安全中心进行分析。
增强模式
增强模式将采集与客户端相关的网络、进程、日志等数据上报云安全中心进行分析。
我已手工处理
您已处理了导致该告警事件的风险问题。
同时处理相同告警
对多个告警事件进行批量处理。批量处理告警事件前,请详细了解告警事件的信息。
不再拦截此规则
如果您无需拦截来自命中拦截规则的请求URI的请求,可以选择不再拦截此规则。选择不再拦截此规则后,系统将不拦截对应URI的请求,不再产生告警。
仅防御不通知
当再次发生相同告警时,告警事件将自动进入已处理列表中,不再进行告警通知,请谨慎操作。
关闭触发告警的防御规则
关闭恶意行为防护后,系统将停止该条自动化防御规则能力,请谨慎操作。
告警事件处理完成后,告警事件的状态将从未处理变为已处理。
查看安全告警统计数据
云安全中心对您已开启的告警防御能力提供总览数据,帮助您快速了解安全告警概况、已开启和未开启的防御项目。您可以查看安全告警和已开启的防御项目的统计信息。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在安全告警处理页面上方,查看告警统计数据。
统计项
说明
相关操作
存在告警的服务器
展示资产中存在告警的服务器数量。
单击相应数值,跳转到主机资产页面,查看已检测出安全告警的服务器的详细信息。
急需处理的告警
展示资产中风险等级为紧急的待处理告警事件的数量。
单击相应数值,自动为您筛选出对应的告警事件,方便您集中查看和处理风险等级为紧急的告警事件信息。
说明建议您优先处理紧急状态的告警事件。
待处理告警总数
展示资产中未处理告警的总数量。
在安全告警处理页面,您可以查看默认展示的所有待处理告警信息。更多信息,请参见查看和处理安全告警。
精准防御
展示资产中被恶意主机行为防御功能自动拦截的病毒告警的数量。
单击相应数值,自动为您筛选出对应的告警事件,方便您集中查看被恶意主机行为防御功能自动拦截的所有病毒告警信息。
说明病毒被自动拦截表示云安全中心已成功拦截该病毒,无需您手动进行处理。
生效IP拦截策略/全部策略
生效IP拦截策略:展示启用防暴力破解规则后拦截的记录数量。
全部策略:展示云安全中心所有的防暴力破解规则拦截的记录数量。
单击相应数值,自动展开IP规则策略库面板,方便您集中查看已启用或全部的IP拦截策略。IP拦截策略的更多信息,请参见防暴力破解。
已隔离文件数
展示您对安全告警事件进行隔离处理后,隔离威胁文件的数量。
单击相应数值,自动展开文件隔离箱面板,方便您集中查看被隔离的文件信息。病毒样本文件被隔离后,将无法对业务产生危害。更多信息,请参见查看和恢复隔离文件。
查看已归档的告警数据
在告警数据大于100条时,云安全中心会自动归档30天前已处理的告警数据,不会归档未处理的告警数据。已归档的数据将无法在云安全中心控制台查看。如需查看已归档的告警数据,您可以将归档数据下载到本地。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在安全告警处理页面右上角,单击归档数据。
在归档数据对话框,查看已归档的数据。
在已归档数据的下载链接列单击下载,将归档数据下载到本地。
归档数据的文件格式为XLSX。归档数据下载时间依赖于网络带宽和文件大小,一般需要2~5分钟。
下载完成后,您可以在归档数据文件中,查看历史告警的告警ID、告警名称、告警详情、告警等级、状态、影响资产、影响资产备注名称、影响概况和告警发生时间。
说明告警状态为已经过期,说明在发生告警后的30天内,您未对该告警做任何处理。建议您及时对云安全中心检测到的安全告警事件进行处理。
查看和恢复隔离文件
云安全中心可对检测到的威胁文件进行隔离处理,被成功隔离的文件会添加到文件隔离箱中,云安全中心将在隔离30天后自动清除被隔离文件。如果您确定被隔离的文件无安全风险,您可以在文件被隔离后30天内,一键恢复被隔离的文件。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在安全告警处理页面右上角,单击文件隔离箱。
在文件隔离箱面板,查看被隔离的文件或恢复被隔离的文件。
在文件隔离箱列表中可以查看被隔离文件所属的主机、路径、状态和修改时间信息。
在待恢复文件的操作列单击恢复,可以将指定的被隔离文件从文件隔离箱中移除。恢复的文件将重新显示在安全告警列表。