查看和处理告警事件

查看告警事件

1. 登录云安全中心控制台。在左侧导航栏，选择检测响应 > 安全告警处理。
2. 在安全告警处理页面，查看安全告警事件。
   • 切换告警所在资产类型

     仅旗舰版支持该操作，其他版本均不支持。单击全部、主机、容器或K8s，查看对应资产类型的告警。

   • 搜索目标告警事件

     您可以使用告警事件列表上方提供的紧急程度、是否已处理等组件筛选或搜索告警事件。

     您还可以使用告警事件列表左侧的告警类型或ATT&CK攻击阶段菜单筛选告警事件。

   • 查看告警事件

     单击告警事件的名称，打开该告警事件的详情页面，可以查看其详情和该告警的自动化关联信息，帮助您更便捷和全面地分析威胁事件、快速定位攻击来源地址和分析攻击行为的路径。有关告警自动化关联的具体内容，请参见查看告警自动化关联分析。有关告警溯源的具体内容，请参见攻击溯源。

     将鼠标移动到告警名称右侧的标签上，查看该告警的攻击溯源或关联异常等信息。
     以下是告警名称右侧标签的说明：

     标签	功能	描述
     	攻击溯源	云安全中心攻击溯源功能结合多种云产品日志，通过大数据分析引擎对数据进行加工、聚合、可视化，形成攻击者入侵的链路图，帮助您在最短时间内定位入侵原因和制定应急决策。您可以单击图标跳转至溯源页面。更多信息，请参见攻击溯源。
     	事件调查	事件调查是入侵调查的工作平台，可视化调查黑客攻击过程，定位攻击源IP，分析入侵原因，助力您快速掌握入侵影响面，进行安全加固。您可以单击图标跳转至事件调查页面。
     	关联异常	将鼠标移动到该图标上，您可以查看当前告警关联异常的数量。
     	重保护模式	重保护模式是云安全中心Agent的一种防护模式，该模式适用于重大活动的安全保障，会对任何可疑的入侵行为和潜在的威胁进行告警。出现该图标说明对于该告警影响的资产，Agent防护模式为重保护模式。Agent防护模式的更多信息，请参见主动防御。
     	攻击阶段	攻击入口、载荷投递、权限提升、逃避检测、权限维持、横向移动、远程控制、数据泄露、痕迹清理、影响破坏是病毒攻击的阶段。您可以通过攻击阶段图标获当前服务器受到病毒攻击的阶段，帮助您快速掌握资产的安全状态。
     	已防御	表示病毒文件的恶意进程已被云安全中心实时拦截，当前已无法对您的业务造成危害，建议您尽快隔离该病毒文件。

   • 查看云安全中心为您自动处理的告警

     将搜索条件是否已处理设置为已处理、状态选择为拦截成功后，查看云安全中心为您自动隔离的常见网络病毒。

   • 查看告警自动化关联分析
     在安全告警处理列表，单击目标告警事件操作列的详情，展开告警详情面板，查看和处理该告警事件的详细信息、关联的异常事件和对告警的异常事件进行处理。

     • 查看告警详细信息

       您可查看该告警事件的受影响资产、首次发生时间、最新发生时间、告警原因和关联异常。

     • 查看受影响资产

       单击受影响资产名称，可跳转到对应资产的详情页面，方便您集中查看该资产的全部告警信息、漏洞信息、基线检查漏洞和资产指纹等信息。

     • 查看告警原因

       查看告警出现的原因和处理建议，您可以单击立即前往跳转至漏洞修复、基线检查等页面，查看并处理漏洞、基线检查风险项信息。

     • 查看和处理关联异常

       您可在关联异常区域查看该告警事件关联的所有异常情况的详细信息和建议方案。您可以执行以下操作处理异常：

       • 单击各关联异常区域右侧的处理，选择处理方式，处理不同异常事件。

         告警事件处理方式选择的更多信息，请参见处理告警事件。

       • 单击各关联异常区域右侧的备注，可为该关联异常事件添加备注信息。

         单击备注信息右侧的图标，即可删除备注信息。

     • 查看告警溯源

       单击溯源页签，打开该告警事件的溯源页面。

   • 攻击溯源

     云安全中心支持自动化攻击溯源，可对攻击事件进行自动化溯源并提供原始数据预览。攻击溯源功能结合多种云产品日志，通过大数据分析引擎对数据进行加工、聚合、可视化，形成攻击者入侵的链路图，帮助您在最短时间内定位入侵原因和制定应急策略。攻击溯源适用于云环境下的Web入侵、蠕虫事件、勒索病毒、主动连接恶意下载源等场景的应急响应与溯源。

     说明

     • 仅企业版和旗舰版支持自动化攻击溯源，免费版、防病毒版、高级版用户需升级到企业版或旗舰版才能使用该功能。
     • 安全告警触发后超过3个月，该告警的自动化攻击溯源信息将被自动清除。请您及时查看告警事件的攻击溯源信息。
     • 云安全中心会在检测到威胁后10分钟，生成自动化攻击溯源的链路。建议您在告警发生10分钟后，再查看该告警相关的攻击溯源信息。

     在安全告警处理页面，定位到有溯源图标的告警事件，单击溯源图标，在展开的面板上查看攻击告警名称、告警类型、影响的资源、攻击源IP、HTTP请求详情和攻击请求的详细内容。

     

     在溯源可视图中，您可以查看该攻击溯源事件整个链路中各个节点的信息。单击各个节点展示该节点的节点属性页面，您可以查看该节点的相关信息。

     

处理告警事件

1. 登录云安全中心控制台。在左侧导航栏，选择检测响应 > 安全告警处理。
2. 在安全告警处理页面定位到目标告警事件，单击操作列的处理，选择告警事件的处理方式，然后单击立即处理。
   说明 如果告警事件包含多个关联异常，单击处理，会打开该告警事件的详情页面，您可对不同的异常事件分别进行处理。更多信息，请参见查看告警自动化关联分析。

   处理方式	说明
   病毒查杀	选择病毒查杀，您可以选择关闭该病毒的进程并隔离源文件，病毒样本被隔离后，将无法对业务产生危害。 如果您确认该告警信息有效，可以手动选择以下选项进行处理： 结束该进程的运行：直接结束该进程的运行。 结束进程并隔离源文件：将病毒文件加入文件隔离箱，被隔离的文件将无法对服务器造成安全威胁。 重要 被成功隔离的文件在30天内可执行一键恢复，恢复的文件将重新回到安全告警列表中，由云安全中心继续对该文件进行监测。文件隔离30天后云安全中心会自动清除该文件。
   加白名单	如果告警为误报，您可以将本次告警加入白名单，并设置加入白名单的规则。例如，在处理渗透工具利用行为的告警时，选择加白名单后，您设置了命令行包含aa的加白规则，则该告警状态将变为已处理，后续云安全中心不会再对命令行包含aa的渗透工具利用行为进行告警。您可以在已处理列表中定位到该事件对其进行取消白名单的操作。 说明 加白名单操作仅对当前告警和您设置的白名单规则进行加白。执行加入白名单操作后，针对您加入白名单的事件和设置的白名单规则，云安全中心都不会再产生对应的安全告警。云安全中心支持加入白名单的对象详情，请参见安全告警可以将哪些对象加入白名单。 告警误报是指系统对正常程序进行告警。常见的告警误报有对外异常TCP发包可疑进程，提示您服务器上有进程在对其他设备发起了疑似扫描行为。
   忽略	选择忽略，该告警状态将更新为已忽略，当相同告警再次发生时，云安全中心将再次告警。 说明 如果您已确认一个或多个告警事件需要忽略或为误报，可在安全告警处理页面的告警事件列表中，选中一个或多个告警事件，单击列表下方的忽略本次或加白名单进行处理。
   深度查杀	深度查杀由云安全中心安全专家团队经过对该持久化、顽固型病毒进行深度分析、测试后，推出的专项查杀能力，该操作可能存在风险，您可以单击该功能下的查看详情，查看并确认待清除列表信息。该处理方式还提供创建快照功能，您还可以通过创建快照备份数据，以便深度查杀清除有用数据时，可以通过快照恢复被清除数据。
   隔离	选择隔离，网站后门文件将被隔离到文件隔离箱，将无法对业务产生危害。 重要 被成功隔离的文件在30天内可执行一键恢复，恢复的文件将重新回到安全告警列表中，由云安全中心继续对该文件进行监测。文件隔离30天后云安全中心会自动清除该文件。
   阻断	选择阻断，云安全中心将生成安全组防御规则，您需要配置规则有效期，拦截该恶意IP的访问。
   结束进程	直接结束该进程的运行。
   问题排查	选择问题排查，云安全中心的客户端问题诊断程序将在本机采集与客户端相关的网络、进程、日志等数据上报云安全中心进行分析，检查期间会占用一定的CPU和内存。 问题排查支持以下两种模式： 常规模式 常规模式将收集客户端相关日志数据上报至云安全中心进行分析。 增强模式 增强模式将采集与客户端相关的网络、进程、日志等数据上报云安全中心进行分析。
   我已手工处理	您已处理了导致该告警事件的风险问题。
   同时处理相同告警	对多个告警事件进行批量处理。批量处理告警事件前，请详细了解告警事件的信息。
   仅防御不通知	当再次发生相同告警时，告警事件将自动进入已处理列表中，不再进行告警通知，请谨慎操作。
   关闭触发告警的防御规则	关闭恶意行为防护后，系统将停止该条自动化防御规则能力，请谨慎操作。

   告警事件处理完成后，告警事件将从未处理状态变为已处理状态。

归档告警数据

云安全中心支持归档30天前的告警数据。您可以对历史告警数据进行归档并下载。定期归档历史告警数据，便于您查看和管理最近的告警数据。

您24小时内只能执行一次归档数据操作。归档数据下载次数不受限制。

执行归档数据操作后，云安全中心会自动归档30天前的所有历史告警数据（包括已处理和未处理的告警），并提供下载归档数据的功能。已归档的数据将无法在云安全中心控制台上进行查看。如果需要查看已归档的数据时，您要先将归档数据下载到本地。如果您从未执行过归档数据，您可以在云安全中心控制台上查看所有的告警数据。

1. 登录云安全中心控制台。在左侧导航栏，选择检测响应 > 安全告警处理。
2. 在安全告警处理页面右上角，单击归档数据。
   以下是归档数据的相关说明：

   • 第一次单击归档数据：云安全中心会自动为您归档当前时间30天前的历史告警数据并生成下载链接。
   • 不是第一次单击归档数据：云安全中心会自动为您归档上一次归档数据截止日期到当前时间30天前之间的告警数据并生成下载链接。

   例如，您在2020年08月13日第一次单击归档数据，云安全中心会为您归档2020年07月14日（2020年08月13日30天前）之前的所有告警数据（包含2020年07月14日），并生成名称为suspiciousExport_20200813_1597282822.zip的归档文件。您在2020年08月15日再次单击归档数据，云安全中心会为您归档2020年07月15日至2020年07月16日的告警数据，并生成名称为suspiciousExport_20200815_1597455622.zip的归档文件。

   说明 云安全中心24小时内最多为您归档一次告警数据。即在24小时内第一次单击归档数据时为您归档告警数据并生成归档文件。再次单击归档数据时，不会触发归档操作，仅为您打开归档数据对话框，您可以查看已归档的数据。
3. 在归档数据对话框，查看已归档的数据。
4. 单击已归档数据下载链接列下的下载，将归档数据下载到本地，然后单击确定。
   归档数据的文件格式为XLSX。归档数据下载时间依赖于网络带宽和文件大小，一般需要2~5分钟。
   下载完成后，您可以在归档数据文件中，查看历史告警的告警ID、告警名称、告警详情、告警等级、状态、影响资产、影响资产备注名称、影响概况和告警发生时间。

   说明 告警状态为已经过期说明在告警发生30天内，您未对该告警做任何处理。建议您及时对云安全中心检测到的安全告警事件进行处理。

文件隔离箱

云安全中心可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到安全告警处理页面的文件隔离箱中。被成功隔离的文件可在30天内进行一键恢复，且隔离30天后系统将自动清除被隔离文件。

1. 登录云安全中心控制台。在左侧导航栏，选择检测响应 > 安全告警处理。
2. 在安全告警处理页面右上角，单击文件隔离箱，在文件隔离箱面板，查看被隔离的文件或恢复被隔离的文件。
   • 在文件隔离箱列表中可以查看被隔离文件的主机地址、路径、状态和修改时间信息。
   • 单击待恢复文件操作列的恢复，并在提示对话框中单击确定，可以将指定的被隔离文件从文件隔离箱中移除。恢复的文件将重新显示在安全告警列表中。
     重要 恢复操作仅支持在文件被隔离30天内进行。云安全中心将自动清除被隔离超过30天的文件。