您可以在安全告警处理页面查看和处理已检测出的告警事件。

背景信息

云安全中心检测出安全告警事件后,会在控制台安全告警处理页面展示相关告警信息。

如果告警事件未被处理,会展示在安全告警处理页面的未处理列表中。告警事件处理完成后,将从未处理状态转化为已处理

说明 云安全中心在安全告警处理页面为您一直保留未处理已处理告警记录。由于待处理告警事件可能会对您的资产安全造成严重威胁,云安全中心默认为您展示待处理告警记录。

查看告警事件

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择威胁检测 > 安全告警处理
  3. 在安全告警事件列表中,查看或搜索所有检测到的入侵和威胁告警及其详细信息。
    告警列表

    您可以进行以下操作:

    • 使用搜索和页签筛选功能快速定位到目标事件。例如,通过指定是否已处理紧急程度告警类型资产分组等搜索条件来搜索相关的告警事件。告警类型详情,请参见安全告警类型列表
    • 查看云安全中心为您自动处理的告警。将搜索条件是否已处理选择为已处理状态选择为拦截成功后,您可以查看云安全中心为您自动隔离的常见网络病毒。自动防御告警
    • 将鼠标移动到告警名称右侧的标签上,查看该告警的攻击溯源或关联异常等信息。
      以下是告警名称右侧标签的说明:
      标签 功能 描述
      攻击溯源图标 攻击溯源 云安全中心攻击溯源功能结合多种云产品日志,通过大数据分析引擎对数据进行加工、聚合、可视化,形成攻击者入侵的链路图,帮助您在最短时间内定位入侵原因和制定应急决策。您可以单击攻击溯源图标图标跳转至溯源页面。更多信息请参见攻击溯源
      事件调查图标 事件调查 事件调查是入侵调查的工作平台,可视化调查黑客攻击过程,定位攻击源IP,分析入侵原因,助力您快速掌握入侵影响面,进行安全加固。您可以单击事件调查图标图标跳转至事件调查页面。
      关联异常图标 关联异常 将鼠标移动到该图标上,您可以查看当前告警关联异常的数量。
      重保护模式 重保护模式是云安全中心Agent的一种防护模式,该模式适用于重大活动的安全保障,会对任何可疑的入侵行为和潜在的威胁进行告警。出现该图标说明对于该告警影响的资产,Agent防护模式为重保护模式。Agent防护模式的更多信息,请参见主动防御
      攻击阶段图标 攻击阶段 攻击入口、载荷投递、权限提升、逃避检测、权限维持、横向移动、远程控制、数据泄露、痕迹清理、影响破坏是病毒攻击的阶段。您可以通过攻击阶段图标获当前服务器受到病毒攻击的阶段,帮助您快速掌握资产的安全状态。
      已防御图标 已防御 表示病毒文件的恶意进程已被云安全中心实时拦截,当前已无法对您的业务造成危害,建议您尽快隔离该病毒文件。
    • 安全告警处理页面中,单击告警事件的名称,打开该告警事件的详情页面,可以查看其详情和该告警的自动化关联信息,帮助您更便捷和全面地分析威胁事件、快速定位攻击来源地址和分析攻击行为的路径。有关告警自动化关联的具体内容,请参见查看告警自动化关联分析。有关告警溯源的具体内容,请参见攻击溯源

处理告警事件

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择威胁检测 > 安全告警处理
  3. 安全告警处理页面,定位到目标告警事件,单击操作栏的处理
    说明 如果告警事件包含多个关联异常,单击处理,会打开该告警事件的详情页面,您可对不同的异常事件分别进行处理。更多信息,请参见查看告警自动化关联分析
  4. 选择当前告警事件的处理方式。
    云安全中心告警处理页面

    告警事件处理方式说明如下:

    • 病毒防御:在病毒防御功能提示信息中,单击点击前往,跳转到病毒防御模块的检查结果页面,使用深度查杀对该恶意病毒告警事件进行一键处理。深度查杀通过查杀与指定病毒关联的恶意病毒进程、隔离关联的恶意文件和清除黑客植入等持久化的方式,彻底清理关联的隐藏威胁。
      说明 仅恶意病毒一类的告警事件支持使用病毒防御功能。
    • 病毒查杀:仅限对恶意进程(云查杀)执行结束进程、隔离该进程源文件的操作。
      如果您确认该告警信息有效,可以手动选择以下选项进行处理:
      • 结束该进程的运行:直接结束该进程的运行。
      • 隔离该进程的源文件:将病毒文件加入文件隔离箱,被隔离的文件将无法对服务器造成安全威胁。
        注意 被成功隔离的文件在30天内可执行一键恢复,恢复的文件将重新回到安全告警列表中,由云安全中心继续对该文件进行监测。文件隔离30天后云安全中心会自动清除该文件。
    • 深度查杀:仅限对恶意进程(云查杀)执行深度清除病毒文件的操作。您可以单击该功能下的查看详情,查看并确认待清除列表信息。
    • 隔离:仅限对网站后门-发现后门(Webshell)文件执行隔离网站后门文件的操作。选择隔离后,网站后门文件将被隔离到文件隔离箱,将无法对业务产生危害。
    • 阻断:仅限对恶意进程(云查杀)-访问恶意IP执行阻断的操作。
      您可以查看处理详情并设置规则有效期阻断
    • 加白名单:如果告警为误报,您可以将本次告警加入白名单,并设置加入白名单的规则。例如,选择加白名单后,您设置了登录源IP包含10.XX.XX.198的加白规则,则该告警状态将变为已处理,后续云安全中心不会再对来源于10.XX.XX.198的登录进行告警。您可以在已处理列表中定位到该事件对其进行取消白名单的操作。 高级加白方式
      说明

      以上示例中的10.XX.XX.198为IP地址脱敏的显示效果,实际配置时请使用真实的IP地址。

      加白名单操作仅对当前告警和您设置的白名单规则进行加白。执行加入白名单操作后,针对您加入白名单的事件和设置的白名单规则,云安全中心都不会再产生对应的安全告警。云安全中心支持加入白名单的对象详情,请参见安全告警可以将哪些对象加入白名单

      告警误报是指系统对正常程序进行告警。常见的告警误报有对外异常TCP发包可疑进程,提示您服务器上有进程在对其他设备发起了疑似扫描行为。

    • 忽略:忽略本次告警,该告警状态将变为已处理,后续云安全中心不会再对该事件进行告警。
    • 同时处理相同告警:对多个告警事件进行批量处理。 批量处理告警事件前,请详细了解告警事件的信息。
  5. 单击立即处理
  6. 可选:如果您已确认一个或多个告警事件需要忽略或为误报,可在安全告警处理页面,选中一个或多个告警事件,直接进行忽略本次加白名单处理。
    忽略或加白

安全威胁防御限制说明

云安全中心支持安全告警实时检测与处理、漏洞检测与一键修复、攻击分析、云平台安全配置检查等功能,结合告警关联分析和攻击自动化溯源,帮助您全面加固系统和资产的安全防线。在云安全中心提供的防御能力以外,建议您定期更新服务器安全系统补丁、配合使用云防火墙、Web应用防火墙等产品缩小网络安全威胁的攻击范围,实时预防,不让黑客有任何可乘之机。

说明 由于网络攻击手段、病毒样本在不断演变,实际的业务环境也有不同差异,因此无法保证能实时检测防御所有的未知威胁,建议您基于安全告警处理、漏洞、基线检查、云平台配置检查等安全能力,提升整体安全防线,预防黑客入侵、盗取或破坏业务数据。