云安全中心检测出安全告警事件后,会在控制台的安全告警处理页面展示相关告警信息。您可以在安全告警处理页面查看和处理已检测出的告警事件。本文介绍如何查看和处理告警事件。

背景信息

如果告警事件未被处理,会展示在安全告警处理页面的未处理列表中。告警事件处理完成后,将从未处理状态转化为已处理

说明 云安全中心在安全告警处理页面为您一直保留未处理已处理告警记录。由于待处理告警事件可能会对您的资产安全造成严重威胁,云安全中心默认为您展示待处理告警记录。

查看告警事件

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择威胁检测 > 安全告警处理
  3. 在安全告警事件列表中,查看或搜索所有检测到的入侵和威胁告警及其详细信息。

    您可以进行以下操作:

    • 搜索目标告警事件
      • 可以使用告警事件列表上方提供的紧急程度是否已处理过滤器等组件筛选或搜索告警事件。
      • 您还可以使用告警事件列表左侧的告警类型ATT&CK攻击阶段菜单筛选告警事件。
    • 查看告警事件

      单击告警事件的名称,打开该告警事件的详情页面,可以查看其详情和该告警的自动化关联信息,帮助您更便捷和全面地分析威胁事件、快速定位攻击来源地址和分析攻击行为的路径。有关告警自动化关联的具体内容,请参见查看告警自动化关联分析。有关告警溯源的具体内容,请参见攻击溯源

      将鼠标移动到告警名称右侧的标签上,查看该告警的攻击溯源或关联异常等信息。标签
      以下是告警名称右侧标签的说明:
      标签 功能 描述
      攻击溯源图标 攻击溯源 云安全中心攻击溯源功能结合多种云产品日志,通过大数据分析引擎对数据进行加工、聚合、可视化,形成攻击者入侵的链路图,帮助您在最短时间内定位入侵原因和制定应急决策。您可以单击攻击溯源图标图标跳转至溯源页面。更多信息,请参见攻击溯源
      事件调查图标 事件调查 事件调查是入侵调查的工作平台,可视化调查黑客攻击过程,定位攻击源IP,分析入侵原因,助力您快速掌握入侵影响面,进行安全加固。您可以单击事件调查图标图标跳转至事件调查页面。
      关联异常图标 关联异常 将鼠标移动到该图标上,您可以查看当前告警关联异常的数量。
      重保护模式 重保护模式是云安全中心Agent的一种防护模式,该模式适用于重大活动的安全保障,会对任何可疑的入侵行为和潜在的威胁进行告警。出现该图标说明对于该告警影响的资产,Agent防护模式为重保护模式。Agent防护模式的更多信息,请参见主动防御
      攻击阶段图标 攻击阶段 攻击入口、载荷投递、权限提升、逃避检测、权限维持、横向移动、远程控制、数据泄露、痕迹清理、影响破坏是病毒攻击的阶段。您可以通过攻击阶段图标获当前服务器受到病毒攻击的阶段,帮助您快速掌握资产的安全状态。
      已防御图标 已防御 表示病毒文件的恶意进程已被云安全中心实时拦截,当前已无法对您的业务造成危害,建议您尽快隔离该病毒文件。
    • 查看云安全中心为您自动处理的告警。
      将搜索条件是否已处理设置为已处理状态选择为拦截成功后,查看云安全中心为您自动隔离的常见网络病毒。已处理

处理告警事件

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择威胁检测 > 安全告警处理
  3. 安全告警处理页面,定位到目标告警事件,单击操作列的处理
    说明 如果告警事件包含多个关联异常,单击处理,会打开该告警事件的详情页面,您可对不同的异常事件分别进行处理。更多信息,请参见查看告警自动化关联分析
  4. 选择当前告警事件的处理方式。
    告警事件处理方式说明如下:
    处理方式 说明
    病毒查杀 选择病毒查杀,您可以选择关闭该病毒的进程并隔离源文件,病毒样本被隔离后,将无法对业务产生危害。
    如果您确认该告警信息有效,可以手动选择以下选项进行处理:
    • 结束该进程的运行:直接结束该进程的运行。
    • 隔离该进程的源文件:将病毒文件加入文件隔离箱,被隔离的文件将无法对服务器造成安全威胁。
      注意 被成功隔离的文件在30天内可执行一键恢复,恢复的文件将重新回到安全告警列表中,由云安全中心继续对该文件进行监测。文件隔离30天后云安全中心会自动清除该文件。
    加白名单 如果告警为误报,您可以将本次告警加入白名单,并设置加入白名单的规则。例如,选择加白名单后,您设置了登录源IP包含10.XX.XX.198的加白规则,则该告警状态将变为已处理,后续云安全中心不会再对来源于10.XX.XX.198的登录进行告警。您可以在已处理列表中定位到该事件对其进行取消白名单的操作。
    说明

    以上示例中的10.XX.XX.198为IP地址脱敏的显示效果,实际配置时请使用真实的IP地址。

    加白名单操作仅对当前告警和您设置的白名单规则进行加白。执行加入白名单操作后,针对您加入白名单的事件和设置的白名单规则,云安全中心都不会再产生对应的安全告警。云安全中心支持加入白名单的对象详情,请参见安全告警可以将哪些对象加入白名单

    告警误报是指系统对正常程序进行告警。常见的告警误报有对外异常TCP发包可疑进程,提示您服务器上有进程在对其他设备发起了疑似扫描行为。

    忽略 选择忽略,该告警状态将更新为已忽略,当相同告警再次发生时,云安全中心将再次告警。
    说明 如果您已确认一个或多个告警事件需要忽略或为误报,可在安全告警处理页面的告警事件列表中,选中一个或多个告警事件,单击列表下方的忽略本次加白名单进行处理。
    深度查杀 深度查杀由云安全中心安全专家团队经过对该持久化、顽固型病毒进行深度分析、测试后,推出的专项查杀能力,该操作可能存在风险,您可以单击该功能下的查看详情,查看并确认待清除列表信息。该处理方式还提供创建快照功能,您还可以通过创建快照备份数据,以便深度查杀清除有用数据时,可以通过快照恢复被清除数据。
    关闭恶意行为防御 选择关闭恶意行为防御,云安全中心将停止该告警文件或告警程序所在的容器,但不会主动删除容器。在Kubernetes环境下,仅停止告警事件所在Container而不是Pod。
    注意 选择该处理方式前,请确认该容器的停止不会影响您的正常业务,请谨慎使用该处理方式。
    隔离 选择隔离,网站后门文件将被隔离到文件隔离箱,将无法对业务产生危害。
    注意 被成功隔离的文件在30天内可执行一键恢复,恢复的文件将重新回到安全告警列表中,由云安全中心继续对该文件进行监测。文件隔离30天后云安全中心会自动清除该文件。
    阻断 选择阻断,云安全中心将生成安全组防御规则,您需要配置规则有效期,拦截该恶意IP的访问。
    结束进程 直接结束该进程的运行。
    问题排查 选择问题排查,云安全中心的客户端问题诊断程序将在本机采集与客户端相关的网络、进程、日志等数据上报云安全中心进行分析,检查期间会占用一定的CPU和内存。
    问题排查支持以下两种模式:
    • 常规模式

      常规模式将收集客户端相关日志数据上报至云安全中心进行分析。

    • 增强模式

      增强模式将采集与客户端相关的网络、进程、日志等数据上报云安全中心进行分析。
    我已手工处理 您已处理了导致该告警事件的风险问题。
    同时处理相同告警 对多个告警事件进行批量处理。批量处理告警事件前,请详细了解告警事件的信息。
  5. 单击立即处理
    告警事件处理完成后,告警事件将从未处理状态转化为已处理状态。

安全威胁防御限制说明

云安全中心支持安全告警实时检测与处理、漏洞检测与一键修复、攻击分析、云平台安全配置检查等功能,结合告警关联分析和攻击自动化溯源,帮助您全面加固系统和资产的安全防线。在云安全中心提供的防御能力以外,建议您定期更新服务器安全系统补丁、配合使用云防火墙、Web应用防火墙等产品缩小网络安全威胁的攻击范围,实时预防,不让黑客有任何可乘之机。

说明 由于网络攻击手段、病毒样本在不断演变,实际的业务环境也有不同差异,因此无法保证能实时检测防御所有的未知威胁,建议您基于安全告警处理、漏洞、基线检查、云平台配置检查等安全能力,提升整体安全防线,预防黑客入侵、盗取或破坏业务数据。