您可以通过阿里云云安全中心控制台查看和处理安全告警事件,并通过告警自动关联全面了解和集中处理安全威胁或入侵,并通过云安全中心提供的告警自动化溯源功能,快速定位攻击来源。

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏,单击威胁检测 > 安全告警处理
  3. 安全告警处理列表中,查看或搜索所有检测到的入侵和威胁告警及其详细信息。

    您也可以使用搜索和页签筛选功能快速定位到特定事件。例如,您可以通过输入告警或资产名称、筛选告警严重等级、事件状态或告警类型来搜索相关的告警事件。


    云安全中心安全告警处理页面

    安全告警处理页面中单击告警事件的名称,打开该告警事件的详情页面,可以查看其详情和该告警的自动化关联信息,帮助您更便捷和全面地分析威胁事件,快速定位攻击来源地址和攻击行为的路径分析。有关告警自动化关联的操作,参见告警自动化关联分析查看告警溯源和排查方案

  4. 安全告警处理页面,单击处理,根据您的需求对不同告警事件执行相应处理。

    云安全中心告警处理页面
    • 病毒查杀/隔离:仅限对网站后门-发现后门(Webshell)文件恶意进程(云查杀)执行结束进程、阻断或隔离的操作。确认告警信息后,单击该操作可将网站后门文件加入文件隔离箱。被隔离的文件将无法对主机造成威胁,详细信息参见文件隔离箱
      说明 被成功隔离的文件在30天内可执行一键恢复,过期后系统将自动清除该文件。
    • 深度查杀:仅限对恶意进程(云查杀)执行深度清除病毒文件的操作。您可以单击该功能下的查看详情,查看并确认待清除列表信息。
    • 阻断:仅限对恶意进程(云查杀)-访问恶意IP执行阻断的操作。
      您可以查看处理详情并设置规则有效期
      阻断
    • 忽略:忽略本次告警,该告警状态将变为已处理,后续云安全中心不会再对该事件进行告警。
    • 加白名单:如果告警为误报,您可以将本次告警加入白名单。告警加入白名单后该告警状态将变为已处理,后续云安全中心不会再对该事件进行告警。您可以在已处理列表中定位到该事件对其进行取消白名单的操作。
      说明 告警误报是指系统对正常程序进行告警。常见的告警误报有 对外异常TCP发包可疑进程,提示您服务器上有进程在对其他设备发起了疑似扫描行为。
    • 同时处理相同告警:对多个告警事件进行批量处理。
      注意 批量处理告警事件前,请详细了解告警事件的信息。

安全威胁防御限制说明

云安全中心支持安全告警实时检测与处理、漏洞检测与一键修复、攻击分析、云平台安全配置检查等功能,结合告警关联分析和攻击自动化溯源,帮助您全面加固系统和资产的安全防线。在云安全中心提供的防御能力以外,建议您也时时更新服务器安全系统补丁、配合使用云防火墙、Web应用防火墙等产品缩小网络安全威胁的攻击范围,实时预防,不让黑客有任何可乘之机。

说明 由于网络攻击手段、病毒样本在不断的演变,实际的业务环境也有不同差异,因此无法保证能实时检测防御所有的未知威胁,建议您基于安全告警处理、漏洞、基线检查、云平台配置检查等安全能力,提升整体安全防线,预防黑客入侵和盗取或破坏业务数据。