本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
云安全中心在检测到资产入侵、被植入恶意软件或异常行为时会生成安全告警。及时并正确地处理告警是保障业务稳定和数据安全的关键。本文介绍如何遵循应急响应流程,快速评估风险、清除威胁并加固系统。
安全告警处置评估
在处理安全事件前,需对告警进行影响面评估、攻击分析,识别误报,避免影响系统的正常运行。可通过安全告警的详情页,获取告警信息以此辅助进行判断。
进入告警详情页
登录云安全中心控制台。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
说明如果已开通威胁分析与响应服务,左侧导航栏入口将变更为。
在云工作负载保护平台(CWPP)页签,定位置至目标告警,单击操作列详情。
重要可在开启告警相关通知,根据收到的告警相关信息,如告警名称快速定位目标告警。
旗舰版支持按资产类型筛选告警,在告警列表上方,单击全部、主机、容器、K8s或云产品,查看对应资产类型的告警。
告警详情解析
可通过安全AI助手、告警攻击溯源、告警说明等信息,获取告警的判定依据、发生次数,可能引起的原因等信息,辅助判断当前告警是否为误报,并给出处理方案。
安全AI助手
提供大模型对话能力,对安全告警进行AI分析,获取攻击的过程、可能引起的原因、判断为告警威胁的依据和处置建议。更多信息请参见AI告警分析及处理。
评估示例:
如上图所示AI助手评估本次异常登录未发生直接威胁,但存在风险建议是持续观察和排查,可暂时不作直接处理。
告警说明
告警说明用于提示系统监测到的异常情况,告知潜在风险,说明异常特征及关联威胁,同时提供处置建议。
评估示例:
如上图所示:
提示风险后果:修改相关配置文件,留下登录后门。
处置建议:找业务部门确认当前进程是否是正常业务场景,若不是则优先结束当前进程,后续排查系统是否存在其他的威胁。
告警溯源
云安全中心提供自动化攻击溯源功能, 它整合多种云产品日志,通过大数据分析生成可视化入侵链路图,并支持原始数据预览。该功能帮助您快速定位入侵原因并制定应急策略。
仅绑定了企业版、旗舰版授权或主机全面防护、主机及容器全面防护的服务器支持该功能。
云安全中心会在检测到威胁后10分钟,生成自动化攻击溯源的链路。建议您在告警发生10分钟后,再查看该告警相关的攻击溯源信息。
安全告警触发后超过3个月,该告警的自动化攻击溯源信息将被自动清除。请您及时查看告警事件的攻击溯源信息。
适用场景:
攻击溯源适用于云环境下的Web入侵、蠕虫事件、勒索病毒、主动连接恶意下载源等场景的应急响应与溯源。
评估示例:
在溯源可视图中单击左上角单击AI分析,云安全中心通过大模型,可对攻击路径进行分析入侵原因推测、利用哪些系统漏洞或文件等并给出处理建议。
在详情页溯源区域,查看攻击链是否完整有效。攻击链路越完整,越需要尽快处理该告警。
单击溯源图中的节点,在左侧节点详情区域,查看是否达成攻击目标。例如:
检查终端行为: 攻击者在服务器上执行了命令(如
whoami、net user)。检查数据泄露: 有异常外连行为(连接矿池、C2服务器)或敏感文件读取/上传。
检查持久化痕迹: 创建了后门账户、计划任务或恶意服务。
单击溯源图中的节点,在左侧节点详情区域,查看原始日志是否可验证(如WAF拦截记录、主机进程创建日志、网络连接日志)。
可验证:存在底层日志佐证(如WAF拦截记录、主机执行恶意命令的进程日志),证明攻击确实发生,若已被拦截则可标记为“已处理”,无需处理告警。若没被拦截需要尽快处理。
不可验证: 无日志支撑(可能遭遇日志被删除、绕过检测等),此场景需高度警惕,可能是高级攻击痕迹。
沙箱检测
云安全中心提供了沙箱检测能力,通过在一个安全隔离的环境中运行文件,分析静态和动态的文件行为数据,帮助您安全地运行可疑的应用程序,检测文件的可疑行为。当产生告警时,您可以通过沙箱检测结果辅助处置恶意程序。
仅部分恶意软件告警支持沙箱检测功能,请以实际页面显示为准。
在安全告警列表,找到目标安全告警,在操作列单击详情。
在沙箱区域,查看沙箱检测的结果。
评估示例:
行为标签:可对入侵文件进行特征打标,标记入侵文件引起的高危操作(红色为最需要注意的入侵行为)。
ATT&CK矩阵:显示沙箱检测运行时的流程经过,并标记入侵文件引起的高危操作(红色为最需要注意的入侵行为)。
告警处理快速指引
告警类型 | 告警名称 | 推荐处理方式 |
恶意软件 | 挖矿程序 | |
DDoS木马 | ||
木马程序 | ||
恶意程序 | ||
漏洞利用程序 | ||
可疑Powershell 指令 | ||
后门程序 | ||
反弹Shell后门 | ||
感染型病毒 | ||
异常登录 | 恶意IP登录 | |
ECS暴力破解成功 | ||
ECS非常用账号登录 | ||
ECS在非常用地登录 | ||
后门账户登录 | ||
网站后门 | 发现后门(Webshell)文件 | |
包含WEBSHELL代码的日志/图片文件 | ||
发现挂马盗链后门文件 | ||
发现任意文件写入后门 | ||
进程异常行为 | Java 应用执行异常指令 | |
可疑的进程路径 | ||
网络代理转发行为 | ||
可疑 Powershell 指令 | ||
持久化后门创建行为 | ||
SSH后门 | ||
可疑编码命令 | ||
可疑命令执行 | ||
恶意脚本 | 恶意脚本代码执行 | |
精准防御 | 对抗安全软件 | |
云产品威胁检测 | RAM子账号异地登录 |
|
黑客工具利用AK |
| |
异常的角色权限遍历行为 | ||
RAM用户登录控制台执行敏感操作 | ||
其他 | 云安全中心客户端异常离线 |
手动处理告警
如果通过安全事件处置功能处理了由云安全中心告警聚合而成的事件,云安全中心会自动更新云工作负载保护平台(CWPP)页签下相关告警的状态,无需手动进行告警状态更新。
操作步骤
登录云安全中心控制台。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
说明如果已开通威胁分析与响应服务,左侧导航栏入口将变更为。
在安全告警页面云工作负载保护平台(CWPP)页签定位到目标告警,在操作列单击处理,选择告警的处理方式,然后单击立即处理。
说明不同类型告警支持的处理方式不同,请以控制台页面显示为准。
可以根据实际需要填写备注信息,备注可填写处置告警的原因和操作人,方便管理已处理告警。
处理方式详解
处理方式可分为以下几类:
威胁清除:直接移除和阻断已知安全威胁,修复感染,防止新的攻击、封堵威胁来源,保护资产安全
告警免打扰:用于处理误报、已知或可接受风险,通过加白、忽略等方式标记“本次告警为无效或无需处理”,并可控制后续是否继续告警。
问题排查:排查云安全中心客户端自身异常,辅助诊断。
威胁清除
病毒查杀
常见使用场景
确认恶意活动:当云安全中心检测到病毒、木马、勒索软件等恶意进程正在运行,且需立即阻断其对系统的危害时。
应急响应需求:需快速遏制病毒传播或数据泄露风险,避免威胁扩散至其他服务器。
前置检查
病毒查杀可能存在服务中断风险为避免影响正常业务,建议您在执行处理前,对源文件进行检查,常见检查点如下:
验证文件属性:通过文件路径、签名、哈希值确认是否为病毒(避免误杀系统/业务文件)。
业务依赖评估:检查该文件是否被关键服务调用(如
nginx、mysql相关组件)。
处理说明
立即终止病毒进程并将病毒文件移至隔离区,隔离后的文件无法执行、访问或传播。
警告结束进程可能造成依赖该进程的服务异常(如病毒伪装成合法进程)。
若被隔离文件是被植入恶意代码的业务文件(如核心应用组件),隔离可能导致服务中断。
被成功隔离的文件在30天内可执行一键恢复,恢复的文件将重新回到安全告警列表中,由云安全中心继续对该文件进行监测。具体的恢复操作请参见查看和恢复隔离文件。
说明未在30天内恢复的文件将被自动清除,不可找回。
后续处理
定期审查隔离区:30天内确认文件性质,避免误删后无法恢复。如何查看隔离区文件请参见查看和恢复隔离文件。
深度查杀
深度查杀由云安全中心安全专家团队经过对该持久化、顽固型病毒进行深度分析、测试后,推出的专项查杀能力。
常见使用场景
深度查杀是针对顽固型、感染型病毒的专项解决方案。这类病毒的特征是:
感染宿主文件: 病毒会注入系统文件、应用程序文件或您的个人文档中,使其成为病毒的一部分。
难以根除: 普通的病毒查杀仅删除病毒母体,但无法修复已被感染的文件,导致问题反复出现。
说明如果您遇到的不是此类病毒,请优先使用常规的“病毒查杀”功能。
前置检查
深度查杀可能存在误删文件风险、服务中断风险、数据完整性风险,为避免影响正常业务,建议您在执行处理前,对源文件进行检查,常见检查点如下:
验证文件属性:通过文件路径、签名、哈希值确认是否为病毒(避免误杀系统/业务文件)。
业务依赖评估:检查该文件是否被关键服务调用(如
nginx、mysql相关组件)。
处理说明
通过查杀恶意病毒进程、隔离恶意文件和清除病毒木马的持久化驻留项等手段清理顽固性病毒。
此外提供创建快照功能,您还可以通过创建快照备份数据,以便深度查杀清除有用数据时,可以通过快照恢复被清除数据。
重要创建和保留快照会产生费用,费用由快照产品收取,默认采用按量付费(后付费)模式,例如40GB系统盘,快照存储一天的费用大约是0.15元 ,详细说明请参见快照计费。
后续处理
定期审查隔离区:30天内确认文件性质,避免误删后无法恢复。如何查看隔离区文件请参见查看和恢复隔离文件。
隔离
结束进程
常见使用场景
多用于处理进程异常行为类型的告警,例如MySQL执行异常指令、WEB漏洞利用攻击导致异常指令执行。
处理说明
云安全中心将尝试结束该进程的运行,若执行失败,可尝试手动终止进程
kill 进程号,然后选择“已手工处理”处理方式。说明进程号可在告警详情页-更多信息中查看。
阻断
常见使用场景
多用于异常登录,暴力破解等IP攻击场景。
处理说明
会生成安全组防御规则,拦截恶意IP的访问。
可单击展开详情,查看生成的防御规则基本信息。如生效资产、规则方向、端口范围、规则方向。
云安全中心会根据客户端安装情况自动选择拦截机制,支持的拦截机制如下:
云安全中心:优先使用云安全中心插件拦截登录行为。在云安全中心实例为高级版、企业版或旗舰版且开启了恶意网络行为防御开关时,云安全中心会自动选择该插件。开启恶意网络行为防御开关的具体操作,请参见主动防御。
ECS安全组:该拦截规则启用时会在安全组中自动创建相应规则,该拦截规则过期或禁用后会自动删除该规则。
规则有效期即拦截规则的实效时间,默认为6小时,不可更改。
生成的拦截规则可前往中防暴力破解页签中系统规则中查看。
说明若需要提前终止拦截策略,可在系统规则中关闭启用开关。
告警免打扰
云安全中心主要通过加白名单、忽略方式实现告警免打扰,针对特定告警还支持不再拦截此规则、仅防御不通知、已手工处理。
加白名单和忽略的区别
差异点 | 加白名单 | 忽略 |
适用场景 | 永久性例外问题 | 适用于临时性、偶发性的误报或已知问题。 |
影响范围 |
| 仅针对当前告警进行处理,对后续告警无影响。 |
加白名单
加白名单后,相同告警和符合加白规则的告警,均不再通知,请谨慎选择。
常见使用场景
当前告警为误报,或添加一个永久性例外规则。如对外异常 TCP 发包可疑进程实为正常业务交互、疑似扫描行为实为正常网络检测等,此时需设置加白规则来规避此类误报。
处理结果说明
对当前告警
本次告警变为 “已处理”,告警状态是手动加白。
当相同告警再次发生,不会再生成告警数据,但会更新本次告警的最新发生时间。
对后续告警
若设置了特定加白规则,符合定制加白规则的告警再次发生时,该告警将自动进入已处理列表中,状态为自动加白,并且不再进行告警通知。
设置特定加白规则(可选)
在告警处理弹窗,单击加白名单页签。单击+新增规则新增一条规则。单击
可删除一条规则。重要设置多条规则时,规则之间为“OR”关系,满足任何一条即进行加白处理。
配置规则时要保证精准性,避免范围过宽。比如设置 “路径包含:/data/” 可能误将其他敏感子目录纳入白名单,增加安全风险。
每一条规则从左到右一共4个配置框,说明如下:
告警信息字段:可在详情页的更多信息中,查看当前告警支持哪些告警信息字段。
条件类型:支持正则匹配、大于、等于、小于、包含等操作。部分规则说明如下:
正则表达式:通过正则表达式可精准匹配特定模式的内容。例如,要对 “/data/app/logs/” 文件夹下所有内容加白,可设置规则 “路径匹配正则:^/data/app/logs/.$”,能匹配该文件夹及子目录下的所有文件或进程。
包含关键词:设置 “路径包含:D:\programs\test\” 的规则,所有路径中包含该文件夹的事件都会被纳入白名单。
条件值:支持常量、正则表达式。
适用资产:
全部资产:对新增资产及已经接入的所有资产生效。
仅针对当前资产:仅对当前告警涉及的资产有效。
取消加白
取消自动加白规则
重要只对后续产生的告警有影响,不再自动为符合加白规则的告警加白。
对已经处理过的告警无影响,告警状态无变化。
登录云安全中心控制台,在左侧导航栏,选择。
说明若您购买了威胁分析与响应(CTDR)服务,请在左侧导航栏,选择。
单击云工作负载保护平台(CWPP)页签右上角的云工作负载告警管理,选择安全告警设置。
在安全告警设置页的告警处置规则区域,处理方式选择自动加白。
定位至目标规则,单击操作列的删除,即可取消自动加白规则。
取消告警加白
重要取消后的告警会重新出现在未处理的告警列表中,需要您再次评估和处理。
需登录云安全中心控制台,在左侧导航栏,选择。
说明若您购买了威胁分析与响应(CTDR)服务,请在左侧导航栏,选择。
云工作负载保护平台(CWPP)页签,将是否已处理的筛选条件至为已处理。
定位至需要取消加白的告警数据,点击操作列取消加白按钮,即可取消当前告警的加白。
说明也可同时勾选多个告警数据后,单击列表底部的取消加白按钮,实现批量取消加白。
忽略
“忽略”仅是一种告警状态管理操作,它本身并不解决触发告警的根本安全问题。
务必在充分确认是误报或已知/接受风险后才使用,避免掩盖真实的攻击。
建议定期(例如每周或每月)查看“已忽略”状态的告警列表。
常见使用场景
确认为误报或优先级较低。
临时性/已知问题: 告警指向的问题确实存在,但属于已知且已接受的风险,或者是一个临时性、非恶意的状态(例如,内部授权的渗透测试活动、特定维护窗口期的异常行为),并且您暂时不打算或无法立即修复根本原因,但需要清理当前告警列表
测试或调试环境: 在非生产环境(如开发、测试环境)中,频繁出现预期内的、不影响安全的告警,干扰正常监控,需要暂时屏蔽。
处理结果说明
对当前告警:本次告警变为 “已处理”,告警状态是已忽略。
对后续告警:无影响,对同类型告警再出现时,云安全中心将再次告警。
取消忽略
登录云安全中心控制台,在左侧导航栏,选择。
说明若您购买了威胁分析与响应(CTDR)服务,请在左侧导航栏,选择。
云工作负载保护平台(CWPP)页签,将是否已处理的筛选条件至为已处理。
定位至需要取消忽略的告警数据,点击操作列取消忽略按钮,即可取消当前告警的忽略状态。
说明也可同时勾选多个告警数据后,单击列表底部的取消忽略按钮,实现批量取消忽略。
不再拦截此规则
适用场景
目前仅支持处理由中恶意行为防御的系统防御规则中自适应WebShell通信拦截规则生成的告警。
处理说明
系统将不拦截对应URI的请求,不再产生告警。
仅防御不通知
后续相同告警不再单独通知,请谨慎选择。
适用场景
由中恶意行为防御规则生成的告警(告警类型为精准防御)。
处理说明
当前告警:本次告警变为 “已处理”。
后续告警:当再次命中相同的防御规则时,生成的告警事件将自动进入已处理列表中,不再进行告警通知。
取消仅防御不通知规则
登录云安全中心控制台,在左侧导航栏,选择。
说明若您购买了威胁分析与响应(CTDR)服务,请在左侧导航栏,选择。
单击云工作负载保护平台(CWPP)页签右上角的云工作负载告警管理,选择安全告警设置。
在安全告警设置页的告警处置规则区域,处理方式选择仅防御不通知。
定位至目标规则,单击操作列的删除,即可取消自动加白规则。
已手工处理
如果已手动处理当告警,请选择我已手工处理,当前告警状态将更新为我已手工处理。
问题排查
适用场景
仅支持处理云安全中心客户端离线异常告警。
处理说明
云安全中心的客户端问题诊断程序将在本机采集与客户端相关的网络、进程、日志等数据,并上报云安全中心进行分析。
检查期间会占用一定的CPU和内存,请评估后使用。
选择问题模式:
常规模式
常规模式将收集客户端相关日志数据上报至云安全中心进行分析。
增强模式
增强模式将采集与客户端相关的网络、进程、日志等数据上报云安全中心进行分析。
单击立即处理后,会生成一个诊断任务。可在页面右上角的客户端任务管理,查看诊断任务结果及进度。更多内容,可参见客户端排查。
说明如果在结果列给出解决方案,按照给出的解决方案处理即可。
如果在结果列没有给出解决方案,请单击操作列的下载诊断日志,将导出的诊断日志和AliUid给到相关人员进一步做验证分析。
AI自动处置告警(AI告警降噪)
AI告警降噪旨在帮助安全运营人员更高效地处理安全告警,主要能力:
智能过滤降噪:协助安全运营人员合理定义告警处置优先级,从海量数据中精准过滤掉误报和低风险噪音,帮助运营人员快速锁定高风险事件,明确处置的优先级。
自动化精准处置:针对AI研判为真实攻击的告警实现自动处置,提升处置效率。
操作步骤
开启AI告警降噪
进入安全告警页面云工作负载保护平台(CWPP)页签,打开告警列表右上方的AI告警降噪开关。
查看 AI 分析结果
功能开启后,系统将每日自动对新增的告警进行深入分析。在告警列表的AI分析列,可以查看每条告警的研判结果:
真实攻击:高置信度确认为真实威胁,建议优先处理。
疑似误报:大概率为误报,可降低处理优先级。
无法研判(未知):因信息不足等原因,AI 暂时无法判断。
执行 AI 自动处置
进入AI告警处置页面
在安全告警列表中,将筛选条件 AI研判结果设置为全部或按需筛选。选希望进行 AI 自动处理的告警,单击列表下方的AI自动处置按钮。
说明也可将鼠标移至AI告警降噪开关区域,单击气泡弹窗中的立即处理。
评估并确认处置方案
在AI告警处置页面,可查看本次将要处理的实体(如恶意文件、异常进程、风险IP等)以及推荐的处置方案。
仔细评估处置方案是否可行。确认无误后,单击确认执行。
查看处置结果
处置完成后,回到安全告警列表,并将筛选条件是否已处理设置为已处理。
查看由 AI 自动处置完成的告警,其状态将显示为AI处置。
配额与限制
生效范围:仅对开启后新产生的告警进行分析和处置,历史告警不会被处理。
每日研判数量限制:
每台主机每日最多对 20 条告警进行 AI 研判。
同时触发研判多条告警时,系统按告警产生时间排序。
AI 自动处置范围限制:
AI 自动处置功能仅适用于同时满足以下两个条件的告警:
经 AI 研判为真实攻击告警;
告警中包含明确可被处置的实体(如文件、进程、IP 等)。
常见病毒告警处理实践教程
安全加固与攻击预防
升级云安全中心版本:企业版和旗舰版支持病毒自动隔离(即病毒自动查杀)功能为您提供精准防御能力,支持更多的安全检测项。
收紧访问控制:仅开放必要的业务端口(如80、443),对管理端口(如22、3389)和数据库端口(如3306)配置严格的IP白名单访问策略。
说明若是阿里云 ECS服务器可参见管理安全组进行操作。
设置复杂服务器密码:为服务器和应用设置包含大小写字母、数字和特殊符号的复杂密码。
升级软件:请及时将应用软件更新至官方最新版本,避免使用已停止维护或存在已知安全漏洞的旧版本。
定期备份:对重要数据和服务器系统盘创建定期快照策略。
说明若是阿里云 ECS服务器可参见创建自动快照策略进行操作。
及时修复漏洞:定期使用云安全中心漏洞修复功能及时修补系统高危漏洞和应用漏洞。
重置服务器系统(谨慎选择)。
如果病毒入侵较深,关联到系统底层组件,强烈建议您在备份重要数据后,重置服务器的系统。具体操作步骤如下:
创建快照备份服务器上的重要数据。具体操作,请参见手动创建单个快照。
初始化服务器的操作系统。具体操作,请参见重新初始化系统盘(重置操作系统)。
使用快照生成云盘。具体操作,请参见使用快照创建数据盘。
挂载云盘到重装系统后的服务器上。具体操作,请参见挂载数据盘。
更多安全防护建议,请您查看操作系统安全加固。
常见问题
告警处理问题
告警处理后又复发(反复感染同一种病毒)怎么办?
处理后复发可能原因如下:
弱口令: SSH/RDP/数据库密码过于简单。
漏洞未修复: Redis, XXL-JOB, WebLogic等应用存在高危漏洞。
后门潜伏: 初次清理不彻底,留下了隐藏的后门。
数据污染: 恢复了带有病毒的备份/快照。
处理方案:
可参照安全加固与攻击预防进行安全加固。
完成病毒处理后,建议备份数据后重启服务器及应用。
警告重启服务器会造成服务短暂中断,在此期间依赖该服务器运行的网站、应用程序等将无法正常访问,可能影响用户体验或业务流程的连续性,请在业务低峰期操作。
部分部署在服务器上的应用因未配置自动启动机制或依赖特定环境变量,通常需要手动重新启动,否则会导致应用服务不可用。例如特定版本的消息队列,请提前评估重启方案。
若重启后仍然无效,请备份数据后重置服务器系统。
病毒文件(木马、挖矿)删除不了?
该文件及父目录被添加了隐藏权限。需使用
chattr -i命令解除文件和父目录的i权限后,再进行删除。服务器存在DDoS木马告警,文件已手动删除但仍提示?
文件未删除干净。处理方案:
若您云安全中心是免费版本,您可开通天免费试用企业版或旗舰版。或者可参考购买云安全中心,升级云安全中心版本至防病毒版本或企业版。
开通后在安全告警处理界面,找到“DDoS木马” ,单击处理按钮,选择病毒查杀。系统将自动结束木马进程并隔离文件。更多内容参见病毒查杀。
控制台功能问题
告警显示文件不存在怎么办?
这可能是因为病毒已被其他方式清除或病毒自身清理了痕迹,可在告警列表中点击“忽略”或“已手工处理”来清除此条告警。
收到安全告警,但控制台没有相关的数据?
如何处理成多条告警(批量处理告警)?
目前云安全中心仅支持批量加白、忽略、取消加白、取消忽略等方式来处理安全告警。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。进入安全告警列表,批量勾选选择需要处理的告警。
单击左下角忽略本次、加白名单、取消加白、取消忽略按钮即可。
为何安全告警处理按钮是灰色的?