AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 云安全中心 操作指南 检测响应 安全告警处理 分析及处理安全告警

分析处理安全告警

更新时间:
产品详情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

为了您的资产安全,建议您及时查看和处理云安全中心检测出的安全告警。本文介绍如何分析处理安全告警。

分析安全告警

在处理安全事件前,需对告警进行影响面评估、攻击分析,识别误报,避免影响系统的正常运行。可通过安全告警的详情页,获取告警信息以此辅助进行判断。

进入告警详情页

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择检测响应 > 安全告警

    说明

    如果您已开通威胁分析与响应服务,左侧导航栏入口将变更为威胁分析与响应 > 安全告警

  3. 云工作负载保护平台(CWPP)页签,定位置至目标告警,单击操作详情

    重要

    • 您可在系统设置 > 通知设置开启告警相关通知,您可根据收到的告警相关信息,如告警名称快速定位目标告警。

    • 旗舰版支持按资产类型筛选告警,在告警列表上方,单击全部、主机、容器、K8s或云产品,查看对应资产类型的告警。

告警详情解析

可通过安全AI助手告警攻击溯源、告警说明沙箱检测等信息,获取告警的判定依据、发生次数,可能引起的原因等信息,辅助判断当前告警是否为误报,并给出处理方案。

安全AI助手

提供大模型对话能力,对安全告警进行AI分析,获取攻击的过程、可能引起的原因、判断为告警威胁的依据和处置建议。更多信息请参见AI告警分析

评估示例:

image

如上图所示AI助手评估本次异常登录未发生直接威胁,但存在风险建议是持续观察和排查,可暂时不作直接处理。

告警说明

告警说明用于提示系统监测到的异常情况,告知潜在风险,说明异常特征及关联威胁,同时提供处置建议。

评估示例:

image如上图所示:

提示风险后果:修改相关配置文件,留下登录后门。

处置建议:找业务部门确认当前进程是否是正常业务场景,若不是则优先结束当前进程,后续排查系统是否存在其他的威胁。

告警溯源

云安全中心提供自动化攻击溯源功能, 它整合多种云产品日志,通过大数据分析生成可视化入侵链路图,并支持原始数据预览。该功能帮助您快速定位入侵原因并制定应急策略。

说明

  • 仅绑定了企业版和旗舰版授权的服务器支持该功能。

  • 云安全中心会在检测到威胁后10分钟,生成自动化攻击溯源的链路。建议您在告警发生10分钟后,再查看该告警相关的攻击溯源信息。

  • 安全告警触发后超过3个月,该告警的自动化攻击溯源信息将被自动清除。请您及时查看告警事件的攻击溯源信息。

适用场景

攻击溯源适用于云环境下的Web入侵、蠕虫事件、勒索病毒、主动连接恶意下载源等场景的应急响应与溯源。

评估示例

  • 在溯源可视图中单击左上角单击AI分析,云安全中心通过大模型,可对攻击路径进行分析入侵原因推测、利用哪些系统漏洞或文件等并给出处理建议。

  • 在详情页溯源区域,查看攻击链是否完整有效。攻击链路越完整,越需要尽快处理该告警。

    如何判断是否是有效链路?

    • 无效链路: 溯源结果只显示单点扫描或试探行为(如孤立的端口扫描、未命中的漏洞利用尝试),且未触发后续行为(如未建立连接、未执行命令、未下载恶意文件)。

    • 有效链路: 溯源图显示清晰的入侵路径(例如:漏洞利用 → Webshell写入 → 内网探测 → 恶意文件下载 → 横向移动)。

  • 单击溯源图中的节点,在左侧节点详情区域,查看是否达成攻击目标。例如:

    • 检查终端行为: 攻击者在服务器上执行了命令(如whoaminet user)。

    • 检查数据泄露: 有异常外连行为(连接矿池、C2服务器)或敏感文件读取/上传。

    • 检查持久化痕迹: 创建了后门账户、计划任务或恶意服务。

  • 单击溯源图中的节点,在左侧节点详情区域,查看原始日志是否可验证(如WAF拦截记录、主机进程创建日志、网络连接日志)。

    • 可验证:存在底层日志佐证(如WAF拦截记录、主机执行恶意命令的进程日志),证明攻击确实发生,若已被拦截则可标记为“已处理”,无需处理告警。若没被拦截需要尽快处理。

    • 不可验证: 无日志支撑(可能遭遇日志被删除、绕过检测等),此场景需高度警惕,可能是高级攻击痕迹。

沙箱检测

云安全中心提供了沙箱检测能力,通过在一个安全隔离的环境中运行文件,分析静态和动态的文件行为数据,帮助您安全地运行可疑的应用程序,检测文件的可疑行为。当产生告警时,您可以通过沙箱检测结果辅助处置恶意程序。

说明

仅部分恶意软件告警支持沙箱检测功能,请以实际页面显示为准。

  1. 在安全告警列表,找到目标安全告警,在操作列单击详情

  2. 沙箱区域,查看沙箱检测的结果。

评估示例

image

  • 行为标签:可对入侵文件进行特征打标,标记入侵文件引起的高危操作(红色为最需要注意的入侵行为)。

  • ATT&CK矩阵:显示沙箱检测运行时的流程经过,并标记入侵文件引起的高危操作(红色为最需要注意的入侵行为)。

告警快速处理指引

重要

  • 若核实告警信息后,判断为正常行为或无需处理,可选择忽略加白名单方式来处理安全告警。

  • 若遇到顽固病毒威胁或同一告警反复出现,建议控制台处理后参照安全加固与攻击预防进行安全加固。

告警类型

告警名称

推荐处理方式

恶意软件

挖矿程序

病毒查杀

DDoS木马

木马程序

恶意程序

漏洞利用程序

可疑Powershell 指令

后门程序

反弹Shell后门

感染型病毒

深度查杀

异常登录

恶意IP登录

阻断

ECS暴力破解成功

ECS非常用账号登录

ECS在非常用地登录

后门账户登录

网站后门

发现后门(Webshell)文件

隔离

包含WEBSHELL代码的日志/图片文件

发现挂马盗链后门文件

发现任意文件写入后门

进程异常行为

Java 应用执行异常指令

结束进程

可疑的进程路径

网络代理转发行为

可疑 Powershell 指令

持久化后门创建行为

SSH后门

可疑编码命令

可疑命令执行

恶意脚本

恶意脚本代码执行

结束进程

精准防御

对抗安全软件

深度查杀

云产品威胁检测

RAM子账号异地登陆

  1. 修改账号密码或通过RAM限制用户的访问IP地址

  2. 变更告警状态为我已手工处理

黑客工具利用AK

  1. 删除RAM用户的AccessKey禁用RAM用户的AccessKey

  2. 变更告警状态为我已手工处理

异常的角色权限遍历行为

  1. 使用RAM管理员登录RAM控制台修改RAM用户权限。

  2. 变更告警状态为我已手工处理

RAM用户登录控制台执行敏感操作

其他

云安全中心客户端异常离线

问题排查

安全告警处理方式

重要

如果您通过安全事件处置功能处理了由云安全中心告警聚合而成的事件,云安全中心会自动更新云工作负载保护平台(CWPP)页签下相关告警的状态,无需您手动进行告警状态更新。

操作步骤如下:

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择检测响应 > 安全告警

    说明

    如果您已开通威胁分析与响应服务,左侧导航栏入口将变更为威胁分析与响应 > 安全告警

  3. 安全告警页面云工作负载保护平台(CWPP)页签定位到目标告警,在操作列单击处理,选择告警的处理方式,然后单击立即处理

    说明

    • 不同类型告警支持的处理方式不同,请以控制台页面显示为准。

    • 您可以根据实际需要填写备注信息,备注可填写处置告警的原因和操作人,以方便您管理已处理告警。

处理方式详解如下:

病毒查杀

常见使用场景

  • 确认恶意活动:当云安全中心检测到病毒、木马、勒索软件等恶意进程正在运行,且需立即阻断其对系统的危害时。

  • 应急响应需求:需快速遏制病毒传播或数据泄露风险,避免威胁扩散至其他服务器。

前置检查

病毒查杀可能存在服务中断风险为避免影响正常业务,建议您在执行处理前,对源文件进行检查,常见检查点如下:

  • 验证文件属性:通过文件路径、签名、哈希值确认是否为病毒(避免误杀系统/业务文件)。

  • 业务依赖评估:检查该文件是否被关键服务调用(如 nginxmysql 相关组件)。

处理说明

  • 立即终止病毒进程并将病毒文件移至隔离区,隔离后的文件无法执行、访问或传播。

    警告

    • 结束进程可能造成依赖该进程的服务异常(如病毒伪装成合法进程)。

    • 若被隔离文件是被植入恶意代码的业务文件(如核心应用组件),隔离可能导致服务中断。

  • 被成功隔离的文件在30天内可执行一键恢复,恢复的文件将重新回到安全告警列表中,由云安全中心继续对该文件进行监测。具体的恢复操作请参见查看和恢复隔离文件

    说明

    未在30天内恢复的文件将被自动清除,不可找回。

后续处理

定期审查隔离区:30天内确认文件性质,避免误删后无法恢复。如何查看隔离区文件请参见查看和恢复隔离文件

深度查杀

深度查杀由云安全中心安全专家团队经过对该持久化、顽固型病毒进行深度分析、测试后,推出的专项查杀能力。

常见使用场景

深度查杀是针对顽固型、感染型病毒的专项解决方案。这类病毒的特征是:

  • 感染宿主文件: 病毒会注入系统文件、应用程序文件或您的个人文档中,使其成为病毒的一部分。

  • 难以根除: 普通的病毒查杀仅删除病毒母体,但无法修复已被感染的文件,导致问题反复出现。

说明

如果您遇到的不是此类病毒,请优先使用常规的“病毒查杀”功能。

前置检查

深度查杀可能存在误删文件风险、服务中断风险、数据完整性风险,为避免影响正常业务,建议您在执行处理前,对源文件进行检查,常见检查点如下:

  • 验证文件属性:通过文件路径、签名、哈希值确认是否为病毒(避免误杀系统/业务文件)。

  • 业务依赖评估:检查该文件是否被关键服务调用(如 nginxmysql 相关组件)。

处理说明

  • 通过查杀恶意病毒进程、隔离恶意文件和清除病毒木马的持久化驻留项等手段清理顽固性病毒。

  • 此外提供创建快照功能,您还可以通过创建快照备份数据,以便深度查杀清除有用数据时,可以通过快照恢复被清除数据。

    重要

    创建和保留快照会产生费用,费用由快照产品收取,默认采用按量付费(后付费)模式,例如40GB系统盘,快照存储一天的费用大约是0.15元 ,详细说明请参见快照计费

后续处理

定期审查隔离区:30天内确认文件性质,避免误删后无法恢复。如何查看隔离区文件请参见查看和恢复隔离文件

隔离

常见使用场景

当确认文件为后门程序、病毒等恶意文件,需立即阻断其运行。

处理说明

  • 系统会将可疑文件移至隔离区,隔离后的文件无法执行、访问或传播。

    警告

    若被隔离文件是被植入恶意代码的业务文件(如核心应用组件),隔离可能导致服务中断。

  • 被成功隔离的文件在30天内可执行一键恢复,恢复的文件将重新回到安全告警列表中,由云安全中心继续对该文件进行监测。具体的恢复操作请参见查看和恢复隔离文件

    说明

    未在30天内恢复的文件将被自动清除,不可找回。

后续处理

定期审查隔离区:30天内确认文件性质,避免误删后无法恢复。如何查看隔离区文件请参见查看和恢复隔离文件

结束进程

常见使用场景

多用于处理进程异常行为类型的告警,例如MySQL执行异常指令、WEB漏洞利用攻击导致异常指令执行。

处理说明

云安全中心将尝试结束该进程的运行,若执行失败,可尝试手动终止进程kill 进程号,然后选择“我已手工处理”处理方式。

说明

进程号可在告警详情页-更多信息中查看。

加白名单

警告

加白名单后,相同告警和符合加白规则的告警,均不再通知,请谨慎选择。

常见使用场景

当前告警为误报,或添加一个永久性例外规则。如对外异常 TCP 发包可疑进程实为正常业务交互、疑似扫描行为实为正常网络检测等,此时需设置加白规则来规避此类误报。

处理结果说明

对当前告警

  • 本次告警变为 “已处理”,告警状态是手动加白。​

  • 当相同告警再次发生,不会再生成告警数据,但会更新本次告警的最新发生时间。

    什么是相同告警?

    相同告警是指告警特征高度一致的安全威胁。例如:

    • 病毒类的告警:相同的资产+相同的病毒文件路径+相同的病毒文件MD5。

    • 异常登录:相同的资产+相同的登录IP。

对后续告警

若设置了特定加白规则,符合定制加白规则的告警再次发生时,该告警将自动进入已处理列表中,状态为自动加白,并且不再进行告警通知。

设置特定加白规则(可选)

在告警处理弹窗,单击加白名单页签。单击+新增规则新增一条规则。单击image可删除一条规则。

重要

  • 可设置多规则,多条规则之前是“and”的关系,即满足所有条件规则才生效。

  • 配置规则时要保证精准性,避免范围过宽。比如设置 “路径包含:/data/” 可能误将其他敏感子目录纳入白名单,增加安全风险。​

  • 建议组合使用叠加多个条件设置规则,如 “路径包含:/app/” 且 “进程名:test.exe”,实现更精细的白名单管理。​

每一条规则从左到右一共4个配置框,说明如下:

  1. 告警信息字段:可在详情页的更多信息中,查看当前告警支持哪些告警信息字段。

  2. 条件类型:支持正则匹配、大于、等于、小于、包含等操作。部分规则说明如下:

    • 正则表达式:通过正则表达式可精准匹配特定模式的内容。例如,要对 “/data/app/logs/” 文件夹下所有内容加白,可设置规则 “路径匹配正则:^/data/app/logs/.$”,能匹配该文件夹及子目录下的所有文件或进程。​

    • 包含关键词:设置 “路径包含:D:\programs\test\” 的规则,所有路径中包含该文件夹的事件都会被纳入白名单。

  3. 条件值:支持常量、正则表达式。

  4. 适用资产

    • 全部资产:对新增资产及已经接入的所有资产生效。

    • 仅针对当前资产:仅对当前告警涉及的资产有效。

加白名单忽略的区别

差异点

加白

忽略

适用场景

永久性例外问题

适用于临时性、偶发性的误报或已知问题。

影响范围

  • 当相同主机资产,相同文件路径出现了和本次告警相同MD5的文件,

  • 若设置其他加白规则,后续符合加白规则的告警也将不再进行通知。

仅针对当前告警进行处理,对后续告警无影响。

如何取消加白(白名单)?

取消自动加白规则

重要

  • 只对后续产生的告警有影响,不再自动为符合加白规则的告警加白。

  • 对已经处理过的告警无影响,告警状态无变化。

  1. 登录云安全中心控制台,在左侧导航栏,选择检测响应 > 安全告警

    说明

    若您购买了威胁分析与响应(CTDR)服务,请在左侧导航栏,选择威胁分析与响应 > 安全告警

  2. 单击云工作负载保护平台(CWPP)页签右上角的云工作负载告警管理,选择安全告警设置

  3. 安全告警设置页的告警处置规则区域,处理方式选择自动加白

  4. 定位至目标规则,单击操作列的删除,即可取消自动加白规则。

取消告警加白

重要

取消后的告警会重新出现在未处理的告警列表中,需要您再次评估和处理。

  1. 需登录云安全中心控制台,在左侧导航栏,选择检测响应 > 安全告警

    说明

    若您购买了威胁分析与响应(CTDR)服务,请在左侧导航栏,选择威胁分析与响应 > 安全告警

  2. 云工作负载保护平台(CWPP)页签,将是否已处理的筛选条件至为已处理

  3. 定位至需要取消加白的告警数据,点击操作列取消加白按钮,即可取消当前告警的加白。

    说明

    也可同时勾选多个告警数据后,单击列表底部的取消加白按钮,实现批量取消加白。

image

忽略

重要

  • “忽略”仅是一种告警状态管理操作,它本身并不解决触发告警的根本安全问题。

  • 务必在充分确认是误报或已知/接受风险后才使用,避免掩盖真实的攻击。

  • 建议定期(例如每周或每月)查看“已忽略”状态的告警列表。

常见使用场景

  • 确认为误报或优先级较低。

  • 临时性/已知问题: 告警指向的问题确实存在,但属于已知且已接受的风险,或者是一个临时性、非恶意的状态(例如,内部授权的渗透测试活动、特定维护窗口期的异常行为),并且您暂时不打算或无法立即修复根本原因,但需要清理当前告警列表

  • 测试或调试环境: 在非生产环境(如开发、测试环境)中,频繁出现预期内的、不影响安全的告警,干扰正常监控,需要暂时屏蔽。

处理结果说明

对当前告警:本次告警变为 “已处理”,告警状态是已忽略。​ 对后续告警:无影响,对同类型告警在出现时,云安全中心将再次告警。

如何取消忽略?

  1. 需登录云安全中心控制台,在左侧导航栏,选择检测响应 > 安全告警

    说明

    若您购买了威胁分析与响应(CTDR)服务,请在左侧导航栏,选择威胁分析与响应 > 安全告警

  2. 云工作负载保护平台(CWPP)页签,将是否已处理的筛选条件至为已处理

  3. 定位至需要取消忽略的告警数据,点击操作列取消忽略按钮,即可取消当前告警的忽略状态。

    说明

    也可同时勾选多个告警数据后,单击列表底部的取消忽略按钮,实现批量取消忽略。

阻断

常见使用场景

多用于异常登录,暴力破解等IP攻击场景。

处理说明

  • 会生成安全组防御规则,拦截恶意IP的访问。

    • 可单击展开详情,查看生成的防御规则基本信息。如生效资产规则方向端口范围规则方向image

    • 云安全中心会根据客户端安装情况自动选择拦截机制,支持的拦截机制如下:

      • 云安全中心:优先使用云安全中心插件拦截登录行为。在云安全中心实例为高级版、企业版或旗舰版且开启了恶意网络行为防御开关时,云安全中心会自动选择该插件。开启恶意网络行为防御开关的具体操作,请参见主动防御

      • ECS安全组:该拦截规则启用时会在安全组中自动创建相应规则,该拦截规则过期或禁用后会自动删除该规则。

  • 规则有效期即拦截规则的实效时间,默认为6小时,不可更改。

  • 生成的拦截规则可前往防护配置 > 主机防护 > 主机规则管理防暴力破解页签中系统规则中查看。

    说明

    若需要提前终止拦截策略,可在系统规则中关闭启用开关。

不再拦截此规则

适用场景

目前仅支持处理由防护配置 > 主机防护 > 主机规则管理恶意行为防御系统防御规则自适应WebShell通信拦截规则生成的告警。

处理说明

系统将不拦截对应URI的请求,不再产生告警。

仅防御不通知

警告

后续相同告警不再单独通知,请谨慎选择。

适用场景

防护配置 > 主机防护 > 主机规则管理恶意行为防御规则生成的告警(告警类型为精准防御)。

处理说明

当前告警:本次告警变为 “已处理”。

后续告警:当再次命中相同的防御规则时,生成的告警事件将自动进入已处理列表中,不再进行告警通知。

如何取消仅防御不通知规则?

  1. 登录云安全中心控制台,在左侧导航栏,选择检测响应 > 安全告警

    说明

    若您购买了威胁分析与响应(CTDR)服务,请在左侧导航栏,选择威胁分析与响应 > 安全告警

  2. 单击云工作负载保护平台(CWPP)页签右上角的云工作负载告警管理,选择安全告警设置

  3. 安全告警设置页的告警处置规则区域,处理方式选择仅防御不通知

  4. 定位至目标规则,单击操作列的删除,即可取消自动加白规则。

问题排查

适用场景

仅支持处理云安全中心客户端离线异常告警。

处理说明

云安全中心的客户端问题诊断程序将在本机采集与客户端相关的网络、进程、日志等数据上报云安全中心进行分析。

重要

检查期间会占用一定的CPU和内存,请评估后使用。

  • 选择问题模式:

    • 常规模式

      常规模式将收集客户端相关日志数据上报至云安全中心进行分析。

    • 增强模式

      增强模式将采集与客户端相关的网络、进程、日志等数据上报云安全中心进行分析。

  • 单击立即处理后,会生成一个诊断任务。可在资产中心 > 主机资产页面右上角的客户端任务管理,查看诊断任务结果及进度。更多内容,可参见客户端排查

    说明

    • 如果在结果列给出解决方案,按照给出的解决方案处理即可。

    • 如果在结果列没有给出解决方案,请单击操作列的下载诊断日志,将导出的诊断日志和AliUid给到相关人员进一步做验证分析。

我已手工处理

如果您已手动处理当告警,请选择我已手工处理,当前告警状态将更新为我已手工处理

常见病毒告警处理实践教程

安全加固与攻击预防

  • 升级云安全中心版本:企业版和旗舰版支持病毒自动隔离(即病毒自动查杀)功能为您提供精准防御能力,支持安全检测项也更多。

  • 收紧访问控制:仅开放必要的业务端口(如80、443),对管理端口(如22、3389)和数据库端口(如3306)配置严格的IP白名单访问策略。

    说明

    若是阿里云 ECS服务器可参见管理安全组进行操作。

  • 设置复杂服务器密码:为服务器和应用设置包含大小写字母、数字和特殊符号的复杂密码。

  • 升级软件:应用软件要经常升级到新版本,不要用老版本的软件。

  • 定期备份:对重要数据和服务器系统盘创建定期快照策略。

    说明

    若是阿里云 ECS服务器可参见创建自动快照策略进行操作。

  • 及时修复漏洞:定期使用云安全中心漏洞修复功能及时修补系统高危漏洞和应用漏洞。

  • 重置服务器系统(谨慎选择)

    如果病毒入侵较深,关联到系统底层组件,强烈建议您在备份重要数据后,重置服务器的系统。具体操作步骤如下:

    1. 创建快照备份服务器上的重要数据。具体操作,请参见创建快照

    2. 初始化服务器的操作系统。具体操作,请参见重新初始化系统盘(重置操作系统)

    3. 使用快照生成云盘。具体操作,请参见使用快照创建数据盘

    4. 挂载云盘到重装系统后的服务器上。具体操作,请参见挂载数据盘

  • 更多安全防护建议,请您查看操作系统安全加固

常见问题

告警处理后又复发(反复感染同一种病毒)怎么办?

处理后复发可能原因如下:

  • 弱口令: SSH/RDP/数据库密码过于简单。

  • 漏洞未修复: Redis, XXL-JOB, WebLogic等应用存在高危漏洞。

  • 后门潜伏: 初次清理不彻底,留下了隐藏的后门。

  • 数据污染: 恢复了带有病毒的备份/快照。

处理方案:

  • 可参照安全加固与攻击预防进行安全加固。

  • 建议完成病毒处理后,备份数据重启服务器及应用

    警告

    • 重启服务器会造成服务短暂中断,在此期间依赖该服务器运行的网站、应用程序等将无法正常访问,可能影响用户体验或业务流程的连续性,请在业务低峰期操作。

    • 部分部署在服务器上的应用因未配置自动启动机制或依赖特定环境变量,通常需要手动重新启动,否则会导致应用服务不可用。例如特定版本的消息队列,请提前评估重启方案。

  • 若重启后仍然无效,请备份数据重置服务器系统

    如何重置服务器系统?

    1. 创建快照备份服务器上的重要数据。具体操作,请参见创建快照

    2. 初始化服务器的操作系统。具体操作,请参见重新初始化系统盘(重置操作系统)

    3. 使用快照生成云盘。具体操作,请参见使用快照创建数据盘

    4. 挂载云盘到重装系统后的服务器上。具体操作,请参见挂载数据盘

告警显示文件不存在怎么办?

这可能是因为病毒已被其他方式清除或病毒自身清理了痕迹,可在告警列表中点击“忽略”或“已手工处理”来清除此条告警。

收到安全告警,但控制台没有相关数据?

  1. 确认当前云安全中心版本:免费版功能有限,建议参考购买云安全中心,升级云安全中心版本至防病毒版本或企业版。

  2. 使用其病毒查杀功能进行扫描和处理。

病毒文件(木马、挖矿)删除不了?

该文件及父目录被添加了隐藏权限。需使用chattr -i命令解除文件和父目录的i权限后,再进行删除。

服务器存在DDoS木马告警,文件已手动删除但仍提示?

文件未删除干净。处理方案:

  1. 若您云安全中心是免费版本,您可开通天免费试用企业版或旗舰版。或则可参考购买云安全中心,升级云安全中心版本至防病毒版本或企业版。

  2. 开通后在安全告警处理界面,找到“DDoS木马” ,单击处理按钮,选择病毒查杀。系统将自动结束木马进程并隔离文件。更多内容参见病毒查杀

如何处理成多条告警(批量处理告警)?

目前云安全中心仅支持批量加白、忽略、取消加白、取消忽略等方式来处理安全告警。

  1. 在左侧导航栏,选择检测响应 > 安全告警进入安全告警列表,选择需要处理的告警,单击左侧多选框。

  2. 单击左下角忽略本次加白名单取消加白取消忽略按钮即可。

为何安全告警处理按钮是灰色的?

请检查当前云安全中心版本,免费版不支持处理安全告警。您可开通7天免费试用或者开通防病毒、企业版,详情参见购买云安全中心。各版本支持检测的安全告警类型不同,可参见安全告警类型

相关文档

  • 可通过开启恶意主机行为防御、网站后门连接防御等开关,自动拦截主机侧的病毒。开启此类功能的具体操作,请参见主机防护设置

  • 可通过开启容器K8s威胁检测、容器防逃逸开关,开启容器集群异常容器防逃逸类型告警的检测,具体操作,请参见容器防护设置

  • 管理您资产中的Web目录、设置告警白名单规则的具体操作,请参见安全告警设置

  • 关于AI告警分析的更多信息,请参见使用限制

上一篇:安全告警设置下一篇:管理告警信息