您可以在安全告警处理页面查看和处理已检测出的告警事件。

背景信息

云安全中心检测出安全告警事件后,会在控制台安全告警处理页面展示相关告警信息。

如果告警事件未被处理,会展示在安全告警处理页面的待处理告警列表中。告警事件处理完成后,将从待处理告警状态转化为已处理

说明 云安全中心在安全告警处理页面为您一直保留待处理告警已处理告警记录。默认展示待处理告警记录。
待处理告警列表

查看告警事件

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击威胁检测 > 安全告警处理
  3. 安全告警处理列表中,查看或搜索所有检测到的入侵和威胁告警及其详细信息。
    告警列表
    • 您可以使用搜索和页签筛选功能快速定位到目标事件。例如,通过输入告警或资产名称、筛选告警严重等级、事件状态或告警类型来搜索相关的告警事件。告警类型的具体内容请参见安全告警类型列表
    • 安全告警处理页面中单击告警事件的名称,打开该告警事件的详情页面,可以查看其详情和该告警的自动化关联信息,帮助您更便捷和全面地分析威胁事件、快速定位攻击来源地址和分析攻击行为的路径。有关告警自动化关联的具体内容,请参见查看告警自动化关联分析。有关告警溯源的具体内容,请参见攻击溯源

处理告警事件

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击威胁检测 > 安全告警处理
  3. 安全告警处理页面,定位到目标告警事件,单击操作栏的处理,对告警事件执行相应的处理。
    说明 如果告警事件包含多个关联异常,单击处理,会打开该告警事件的详情页面,您可对不同的异常事件分别进行处理。详细内容请参见查看告警自动化关联分析
    云安全中心告警处理页面
    • 病毒查杀:仅限对网站后门-发现后门(Webshell)文件恶意进程(云查杀)执行结束进程、阻断或隔离的操作。确认告警信息后,单击该操作可将网站后门文件加入文件隔离箱,被隔离的文件将无法对主机造成威胁。被隔离文件的详细信息请参见文件隔离箱
      注意 被成功隔离的文件在30天内可执行一键恢复,恢复的文件将重新回到安全告警列表中,由云安全中心继续对该文件进行监测。文件隔离30天后云安全中心会自动清除该文件。
    • 深度查杀:仅限对恶意进程(云查杀)执行深度清除病毒文件的操作。您可以单击该功能下的查看详情,查看并确认待清除列表信息。
    • 阻断:仅限对恶意进程(云查杀)-访问恶意IP执行阻断的操作。
      您可以查看处理详情并设置规则有效期阻断
    • 加白名单:如果告警为误报,您可以将本次告警加入白名单。告警加入白名单后该告警状态将变为已处理,后续云安全中心不会再对该事件进行告警。您可以在已处理列表中定位到该事件对其进行取消白名单的操作。
      说明

      加白名单操作仅对当前告警事件中的恶意源进行加白。以上截图示例中,执行加入白名单操作后仅针对当前恶意IP进行加白,后续其他服务器再访问该IP时,云安全中心都不会再产生对应的安全告警。云安全中心支持加入白名单的对象详情请参见安全告警可以将哪些对象加入白名单?

      告警误报是指系统对正常程序进行告警。常见的告警误报有对外异常TCP发包可疑进程,提示您服务器上有进程在对其他设备发起了疑似扫描行为。

    • 忽略:忽略本次告警,该告警状态将变为已处理,后续云安全中心不会再对该事件进行告警。
    • 同时处理相同告警:对多个告警事件进行批量处理。 批量处理告警事件前,请详细了解告警事件的信息。
  4. 可选:如果您已确认一个或多个告警事件需要忽略或为误报,可在安全告警处理页面,选中一个或多个告警事件,直接进行忽略本次加白名单处理。
    忽略或加白

安全威胁防御限制说明

云安全中心支持安全告警实时检测与处理、漏洞检测与一键修复、攻击分析、云平台安全配置检查等功能,结合告警关联分析和攻击自动化溯源,帮助您全面加固系统和资产的安全防线。在云安全中心提供的防御能力以外,建议您定期更新服务器安全系统补丁、配合使用云防火墙、Web应用防火墙等产品缩小网络安全威胁的攻击范围,实时预防,不让黑客有任何可乘之机。

说明 由于网络攻击手段、病毒样本在不断演变,实际的业务环境也有不同差异,因此无法保证能实时检测防御所有的未知威胁,建议您基于安全告警处理、漏洞、基线检查、云平台配置检查等安全能力,提升整体安全防线,预防黑客入侵、盗取或破坏业务数据。