查看安全告警-办公安全平台(SASE)-阿里云帮助中心

办公安全平台SASE（Secure Access Service Edge）支持实时检测终端中的安全告警事件，包含恶意软件、异常进程、漏洞利用、恶意脚本等安全告警类型。通过威胁检测引擎，提供全面的安全告警类型检测，帮助您及时发现终端中的安全威胁，实时掌握终端的安全态势。

前提条件

您已开通办公安全平台。如果您未开通办公安全平台，需购买并开通服务。具体操作，请参见购买服务。您也可以申请7天免费试用。具体操作，请参见申请免费试用。
您使用的是阿里云主账号或拥有访问SASE服务的RAM用户。如果使用RAM用户，需要给RAM用户授予访问控制权限。具体操作，请参见为RAM用户授权。
企业办公终端安装的SASE App的版本不低于4.6.0。

步骤一：查看安全告警

安全告警是指SASE检测到您的设备存在威胁，并根据威胁程度划分不同的风险等级，例如恶意软件、异常进程、漏洞利用、恶意脚本等。您可以根据不同筛选条件查看安全警告。

SASE支持检测的所有安全告警类型的更多信息，请参见安全告警类型列表。

登录办公安全平台控制台。
在左侧导航栏，选择终端防护 > 安全告警。
在安全告警页面，查看安全告警信息。

安全告警信息展示紧急程度、告警名称、受影响终端、所属用户、所属部门，最近发生时间等信息。支持多种方式筛选数据。
1. 单击列表上方的急需处理的告警，筛选紧急的告警信息。
2. 单击列表上方的全部告警，筛选全部告警信息。
3. 在列表左侧全部告警区域，按照告警类型和ATT&CK攻击阶段对安全告警信息分类查看。
4. 在列表上方，支持按照紧急程度和时间等条件筛选数据。

安全告警风险等级的分类

办公安全平台对安全告警风险等级的分类如下：

风险等级	描述
紧急	该告警所描述的行为，与常见的攻击者行为相似，对您的终端有破坏性或者持久性的影响，例如“黑客工具”等。该风险等级表示您的终端很有可能正在受到攻击，建议您立即查看安全告警的详情并及时进行处理。
可疑	该告警所描述的行为，对您的终端有破坏性或者持久性的影响，但该行为可能与部分运维行为较为相似，例如“混淆程序”等，或者该告警所描述的行为是攻击路径上的非必经路径，即使缺失这些行为也不影响攻击者达到其目的，例如“攻击痕迹清理”等。该风险等级表示您的终端有一定概率正在受到攻击，建议您查看该安全告警，进一步判断是否存在风险并进行相应处理。
提醒	该告警所描述的行为是攻击路径上的非必经路径，即使缺失这些行为也不影响攻击者达到其目的，同时该行为可能会与部分运维行为较为相似，如“破解程序”等。如果您对您的终端的安全等级要求较高，可以关注该等级的安全告警。

步骤二：查看告警详情

您可以查看告警详情，根据告警详情信息和处置建议，判断该条告警是否需要处理。

在安全告警列表，单击告警名称或操作列的详情。在详情面板，查看基础信息、风险终端信息、事件说明、更多信息等。

其中基础信息包含告警名称、紧急程度、告警ID、ATT&CK攻击阶段和告警类型等字段；风险终端显示受影响终端主机名和告警发生时间；事件说明描述告警事件详情并提供处置建议；更多信息展示相关文件路径等数据。

步骤三：查看受影响终端信息

对于受影响终端，您可以查看终端设备基础信息、安装软件的详细信息以及日志采集。终端设备基础信息包含终端的设备信息、设备状态、历史登录账号记录等；安装的软件信息包含软件名称、出品公司、版本及安装时间。

查看终端信息

支持两种途径查看受影响终端信息：

单击受影响终端列的终端名称。
单击操作列的详情，在详情面板中的风险终端，单击受影响设备的终端名称。

详情面板包含 基础信息、软件信息、日志采集 三个页签。基础信息 页签展示设备基础信息（操作系统、系统版本、终端名称、设备唯一ID、MAC地址、CPU、内存、硬盘）和设备状态信息（用户名、注册时间、最近更新时间、客户端版本、设备状态、客户端状态、内网访问状态、互联网访问状态、办公数据保护状态、网络准入状态、反入侵状态），底部还展示 历史登录账户 记录。各状态字段以颜色标识生效情况：绿色表示生效中，红色表示未生效，黄色表示离线或长期离线。

查看日志采集

如果您需要查看某一终端的日志，必须先对该终端进行日志采集操作，参考下列操作步骤。

在左侧导航栏，选择终端管理 > 终端列表。
在终端列表页面，在下拉列表中选择终端名称，并输入需要采集日志的终端名称。
单击操作列的日志采集。
日志采集任务下发后您可以在详情面板查看日志采集状态及下载日志操作。
1. 在终端列表页面查看：单击终端名称，在详情面板中，单击日志采集页签查看日志采集情况。
2. 在安全告警页面查看：
  1. 在左侧导航栏，选择终端防护 > 安全告警。
  2. 单击受影响终端名称。
  3. 在详情面板中，单击日志采集页签查看日志采集情况。

安全告警类型列表

如果您想了解SASE支持的告警类型设计的具体检测项，以及对应的检测原理，请参见安全告警检测项。

下表介绍了SASE支持检测的所有告警类型。

告警类型	告警说明
持久化后门	检测设备上存在的被攻击者植入的持久化后门或入侵痕迹，对内存马注入、后门程序、异常注册表项修改等威胁行为进行告警。
恶意软件	可检测以下子项：访问恶意IP 挖矿程序自变异木马恶意程序木马程序
精准防御	可对主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型进行防御。
进程异常行为	检测终端中是否存在超出正常执行流程的行为，包括但不限于以下子项：反弹Shell
异常网络连接	检测网络显示断开或不正常的网络连接状态。可检测以下子项：主动连接恶意下载源访问恶意域名矿池通信行为可疑网络外连反弹Shell网络外连 Windows异常网络连接疑似内网横向攻击疑似敏感端口扫描行为（包括22、80、443、3389等常用端口）
漏洞利用	检测终端的系统是否受到漏洞利用程序的攻击，针对攻击或尝试攻击操作系统、应用程序的已知漏洞进行告警提示。
恶意脚本	检测终端的系统功能是否受到恶意脚本的攻击或篡改，对可能的恶意脚本攻击行为进行告警提示。恶意脚本分为有文件脚本和无文件脚本。攻击者在获得终端权限后，使用脚本作为载体来达到进一步攻击利用的目的。利用方式包括植入挖矿程序、添加系统后门、添加系统账户等操作。恶意脚本的语言主要包括Bash、Python、Perl、PowerShell、BAT、VBS。
异常账号	检测非合法的登录账号。
异常登录	检测设备的异常登录行为。
敏感文件篡改	检测是否存在对终端中的敏感文件进行恶意修改。

安全告警检测项

下表列出了SASE支持的所有告警检测项和对用的检测原理，并按照操作系统进行分类，帮助您更全面地了解SASE的威胁检测能力。

适用于Windows系统的告警

告警类型	具体检测项	检测原理说明
持久化后门	可疑自启动项	检测模型发现您终端上的某些自启动项可疑，可能是恶意软件或者黑客在入侵后进行的持久化痕迹。
	疑似后门	检测模型发现您的终端上存在WMI或Bitsadmin后门，可能是攻击者在入侵后用来维持对您终端的权限。
	异常代码驻留内存	检测模型发现您的终端上某进程的内存空间中疑似存在恶意指令，该进程可能为攻击者在入侵后遗留的恶意软件，或者是向正常的进程注入了恶意的代码。
	异常进程	检测模型发现您的终端当前运行中的程序中存在异常进程，可能是恶意程序或利用正常程序加载了恶意代码。
	异常注册表项	检测模型发现您终端上的某个注册表配置项可疑，恶意软件常常会修改某些关键注册表配置来持久化运行或干扰正常的安全防护。
	异常自启动项	检测模型发现您的终端上存在异常的自启动项，可能是恶意软件或攻击者通过添加启动项来达到持久化的目的。
	CobaltStrike远控木马	检测模型发现您终端上某个进程内存空间内存在CobaltStrike远控木马的恶意代码，可能该进程即为恶意程序或正常程序被注入了恶意指令。
恶意脚本	恶意脚本代码执行	检测模型发现您的终端上正在执行恶意的Bash、PowerShell、Python等脚本代码。
恶意脚本	发现恶意脚本文件	检测模型发现您的终端上存在恶意脚本文件，该文件极有可能是攻击者成功入侵终端后植入的，建议您根据恶意脚本的标签检查文件内容的合法性并进行处理。
恶意软件	恶意程序	检测模型发现您的终端上运行了恶意程序，恶意程序一般是具备多种恶意行为特征或者具备骚扰、破坏行为的第三方程序。
	访问恶意IP	检测模型发现您终端上的进程正在尝试访问一个可疑的恶意IP，这个IP可能是黑客的中控IP，矿池IP等具有高风险的IP，发起连接行为的进程可能是黑客植入的恶意文件。
	感染型病毒	检测模型发现您的终端上运行了感染型病毒，该病毒是一类高级恶意程序，由病毒本体将恶意代码写入正常程序文件执行，因此往往有大量原本正常程序被感染后作为宿主被检出。
	黑客工具	检测模型发现您的终端上存在黑客工具，黑客工具是攻击者在入侵过程中用于权限提升、窃取敏感数据的工具，或用于卸载安全软件的程序，或入侵后植入系统的后门程序。
	后门程序	检测模型发现您的终端上运行了后门程序，后门程序是植入到系统中，用于给黑客对终端做持续入侵的持久化程序。
	可疑程序	检测模型发现您的终端上运行了可疑程序，可疑程序一般是具有一定恶意代码特征或高可疑度行为特征的、暂未明确分类的程序，需要用户结合信息判断。
	勒索病毒	检测模型发现您的终端上运行了勒索病毒，勒索病毒是一类恶性程序，会对终端上所有关键数据文件进行加密锁定以勒索赎金。
	漏洞利用程序	检测模型发现您的终端上运行了漏洞利用程序，该程序用于攻击或尝试攻击操作系统、应用程序的已知漏洞，以实现提权、逃逸、任意代码执行等目的。
	木马程序	检测模型发现您的终端上存在木马程序，木马程序是专门用于侵入用户终端的程序，一般通过伪装植入系统后会下载、释放另外的恶意程序。
	蠕虫病毒	检测模型发现您的终端上运行了蠕虫病毒，蠕虫病毒是一类用于从已攻陷终端，向其它终端做攻击横向移动的程序，往往包括漏洞利用、密码爆破等行为。
	挖矿程序	检测模型发现您的终端上运行了挖矿程序，挖矿程序是一类侵占终端计算资源，进行虚拟货币挖掘的程序，终端往往可见CPU占用飙高，以及其它相关的恶意程序。
	自变异木马	检测模型发现您的终端上运行了自变异，自变异木马是具备自变异功能的木马程序，它会改变自身hash或者将自身大量复制到不同的路径下，并在后台运行，以躲避清理。
	DDoS木马	检测模型发现您的终端上运行了DDoS木马，DDoS木马是用于从被攻陷终端上接收指令，对黑客指定目标发起DDoS攻击的恶意程序。
	Hashdump攻击异常事件	检测模型发现您的终端上有wce、mimikatz恶意软件运行，该工具可窃取系统账号HASH，导致您的账号密码泄露。
进程异常行为	创建异常Windows计划任务	检测模型发现您的终端上创建了异常的Windows计划任务，可能是恶意软件或攻击者在入侵过程中为维持权限而进行的行为。
	调用风险工具	检测模型发现您的终端异常调用了风险工具，风险工具被攻击者用于代理、隧道、扫描工具等进一步入侵终端的场景。
	调用wmic启动可疑进程	检测模型发现您终端尝试使用wmic创建并执行程序，攻击者在入侵您终端后，会通过创建wmic任务的方式来维持权限。
	访问恶意下载源	检测模型发现您的终端正在尝试访问一个可疑的恶意下载源，可能是黑客通过弱口令或命令执行漏洞，从远程终端下载恶意文件，危害终端安全。
	高危应用执行异常指令	检测模型发现您终端中的高危应用（如：Web服务、数据库服务、脚本、定时任务、自启动项等）执行了可疑命令，该服务可能已被攻击者攻破并通过其执行恶意命令。
	高危应用植入可疑文件	检测模型发现您终端上的敏感服务（如Web应用等）创建了可疑的可执行文件或脚本，可能是攻击者通过漏洞攻击服务后向系统投递病毒或木马的行为。
	可疑的脚本操作	检测模型发现您的终端上执行的某些与脚本相关的命令高度可疑，很有可能与恶意软件、黑客入侵有关。
	可疑的进程路径	检测模型发现您终端上某个进程从一个不寻常的路径启动，常规软件通常不会在这种目录中，该进程有可能是病毒、木马、黑客入侵过程中放置的工具。
	可疑的进程文件名	检测模型发现您终端上某个进程的文件名具有迷惑性后缀或是有模仿系统文件名的嫌疑，这有可能是病毒、木马、黑客入侵过程中放置的工具。
	可疑端口监听异常进程	检测模型发现您的终端出现异常的端口监听事件，攻击者在入侵终端后，常常会借助nc等软件建立监听端口，以此建立隐蔽通信通道实现信息窃取等目的。
	可疑命令	检测模型发现您的终端执行了可疑的信息收集命令，或启动的进程调用关系存在异常，可能与木马病毒或黑客入侵有关。
	可疑文件落盘执行	检测模型发现您的终端上的某文件以一种可疑的方式被写入并执行，可能是攻击者从外部下载的恶意工具并执行。
	可疑注册表配置项修改	检测模型发现您终端上有进程尝试修改注册表配置，可能是攻击者在获取终端权限后写入后门代码或修改敏感配置。
	可疑CMD命令序列	检测模型发现您终端上某进程执行了一系列可疑的命令，这些命令与攻击者入侵后通常会执行的命令序列非常相似，建议排查这些命令的父进程，可能为远控木马、存在漏洞的Web服务，或者是合法进程被注入了恶意代码。
	可疑procdump进程镜像转储	检测模型发现您的终端上正在进行procdump进程镜像转储，该行为可能导致敏感数据泄露。
	利用bitsadmin启动可疑进程	检测模型发现您的终端尝试利用bitsadmin启动可疑进程，可能是攻击者利用该功能进行植入恶意程序以及执行恶意命令。
	利用Windows系统文件加载恶意代码	检测模型发现您的终端执行的命令极有可能是攻击者在利用Windows系统文件加载恶意代码，以此绕过安全软件的检测。
	启动项异常修改	检测模型发现您终端上有进程正在尝试修改系统的自启动项，可能是木马病毒或攻击者通过这种方式来维持对您终端的权限。
	使用attrib.exe修改文件的只读隐藏属性	检测模型发现您终端上有进程正在尝试使用attrib.exe修改文件的只读隐藏属性。
	通过注册表添加自启动程序	检测模型发现您的终端上有程序向注册表中添加自启动项，常见于流氓软件，含有后门的推广软件以及入侵持久化行为，也被正常软件用于开机自启动，请确认该进程路径是否为可信程序。
	通过FTP从远程终端下载可疑文件到磁盘	检测模型发现您终端上有进程正在尝试通过FTP从远程终端下载可疑文件。
	通过RDP远程登录拷贝可疑文件到本地磁盘	检测模型发现有攻击者尝试通过RDP远程登录向您的终端拷贝可疑文件，可能是因为您的终端RDP登录密码被黑客窃取或被成功破解。
	系统备份异常删除	检测模型发现您终端上有进程尝试删除系统备份文件，可能为勒索病毒为达到勒索的目的，通过删除系统的备份来阻止恢复文件。
	系统日志异常删除	检测模型发现您的终端上有进程在删除系统日志，恶意软件或攻击者通常会通过清除系统日志来达到躲避检测的目的。
	疑似黑客工具	检测模型发现您终端上执行的某些命令与常用的黑客工具非常类似，可能是由攻击者在入侵过程中执行的命令。
	疑似Windows提权操作	检测模型发现您的终端上执行的某些命令非常可疑，极有可能是攻击者在利用系统或应用漏洞获取更高的系统权限。
	异常的注册表操作	检测模型发现您的终端上执行的某些命令操作Windows注册表的方式高度可疑，可能存在恶意软件或攻击者入侵后修改相关的配置项。
	异常调用数据库导出工具	检测模型通过对您终端上进程的历史行为进行分析，发现可疑调用数据库导出工具行为，可能是攻击者在攻击成功后进行数据窃取的行为。
	异常调用系统工具	检测模型发现您终端上有进程正以一种可疑方式的调用系统工具，木马病毒或黑客常常会通过这种方式绕过常规的安全软件来下载恶意文件、加载恶意代码、执行加解密操作等其他恶意操作。
	异常修改系统安全配置	检测模型发现您的终端上有进程正在修改系统安全配置，可能为恶意软件或攻击者通过修改防火墙、杀毒软件配置来躲避检测。
	执行恶意命令	检测模型发现您的终端上执行的进程命令高度可疑，很有可能与木马、病毒、黑客行为有关。
	CobaltStrike远控恶意行为	检测模型发现您的终端中存在CobaltStrike控制端，并正在执行恶意操作命令。
	FTP应用执行异常指令	检测模型发现您的FTP应用执行了异常命令，可能是攻击者通过FTP应用的弱口令，借助FTP执行BAT批处理脚本功能，执行异常命令。
	Java应用执行异常指令	检测模型发现您的终端上的Java进程启动了下载恶意程序、添加后门等高危行为，很可能是因为您使用了存在漏洞的Web框架或者中间件所导致。
	Lsass.exe系统安全授权程序执行异常进程	检测模型发现您的终端上的lsass.exe进程启动了异常命令，lsass.exe进程是系统的一个安全授权服务进程，负责为登录用户进行身份鉴权和Token令牌生成。许多系统漏洞常常针对该服务进行缓冲区溢出攻击，使得攻击者获取目标进程的完全控制权。
	MySQL执行异常指令	检测模型发现您的MySQL服务执行了可疑的命令，可能是由于MySQL服务存在弱口令，或Web服务被SQL注入导致。
	Postgresql应用执行异常指令	检测模型发现到您的Postgres服务执行了可疑的命令，可能是由于Postgres服务存在弱口令，或Web服务被SQL注入导致。
	Python应用执行异常指令	检测模型发现您终端上的Python应用执行异常命令，可能是由于您终端上通过Python搭建的Web应用存在RCE漏洞并被成功利用。
	regsvr32.exe执行异常指令	检测模型发现您的终端上存在regsvr32.exe执行异常指令，可能是攻击者为了躲避系统杀软查杀，将恶意代码包装在Windows、OCX、COM文件中，并通过regsvr32来加载到内存中运行。
	rundll32.exe执行异常指令	检测模型发现您的终端上存在rundll32.exe执行异常指令，可能是攻击者为了躲避系统杀软查杀，将恶意代码包装在Windows DLL文件中，并通过rundll32.exe来加载到内存中运行。
	Sqlserver写可疑文件到磁盘中	检测模型发现您终端上SQL Server应用正在尝试写入可疑文件到磁盘中，可能是因为攻击者破解了SQL Server的登录密码并执行了恶意的SQL。
	Sqlserver应用执行异常指令	检测模型发现您的SQL Server服务执行了可疑的命令，可能是由于SQL Server服务存在弱口令，被攻击者借助SQL Server自身的命令执行组件执行了恶意命令。
	Tomcat执行异常指令	检测模型发现您的Tomcat容器执行了异常命令，可能是攻击者通过Tomcat容器中Java应用存在的RCE漏洞或WebShell执行了恶意命令。
	Windows Defender配置修改	检测模型发现您的终端正在通过修改注册表的方式关闭Windows Defender安全软件的部分功能，可能是攻击者在入侵终端后使用此方法来躲避检测与防御。
	Windows-3389-RDP配置被修改	检测模型发现您终端的RDP配置正在被修改，可能是攻击者在入侵终端后，为维持权限进行的操作。
	Windows创建计划任务	检测模型发现到您的终端正在创建Windows计划任务，可能是由于攻击者入侵您的终端，为维持权限而植入后门。
	Windows创建可疑Service服务启动项	检测模型发现您的终端上游进程正在尝试创建可疑的Service服务启动项，该终端可能已经被植入恶意程序，恶意程序在运行过程中会通过创建服务的方式来维持权限。
	Windows登录凭证窃取	检测模型发现您的终端上某些程序修改了注册表的WDigest项，该行为常见于黑客通过修改UseLogonCredential值使系统能够明文存储登录凭证，便于攻击者后续从内存中窃取登录凭证。
	Windows调用mshta执行html内嵌脚本指令	检测模型发现您终端上有进程在尝试调用mshta执行HTML内嵌脚本指令，黑客可通过这种方式向终端植入恶意程序。
	Windows可疑端口转发	检测模型发现您的终端上执行的命令可能是在转发内网的敏感端口，攻击者在内网横向移动时常常采用这种方式。
	Windows系统防火墙配置修改	检测模型发现有进程正在尝试修改您终端上的Windows系统防火墙配置，请注意。
	Windows新增自启动项	检测模型发现您的终端存在异常的增加自启动项的行为，可能是攻击者在入侵终端后，为维持权限，将恶意程序添加到启动项中
	Windows账户异常操作	检测模型发现您终端上的命令在操作系统账户时的上下文可疑，可能是恶意软件或者攻击者在进行用户账户的操作。
异常登录	后门账户登录	检测模型发现您的终端之前被攻击者植入了后门账户，且该后门账户刚刚被成功登录，如果不是您的操作行为，请尽快删除此账号。
	弱口令账户登录	检测模型发现您的终端存在弱口令的账户被成功登录，这可能是攻击者或者您自己的登录行为，弱口令是攻击者最常利用的入侵手段，建议您立即加强口令的强度，防止黑客入侵。
	疑似对外发起登录扫描活动	检测模型发现您的终端频繁对外发起爆破扫描SSH、RDP、SMB等协议的行为，可能是您的终端已被攻击者入侵并被用于跳板来攻击其他机器。
	异常账户登录	检测模型发现您终端上的管理员组用户，从不常见的位置登录了终端。如果不是您的操作行为，请尽快删除此账号。
异常网络连接	端口转发	检测模型发现您终端上有进程正在尝试建立端口转发隧道，可能是攻击者在入侵终端后，将该终端作为跳板进而攻击内网的其他终端。
	访问恶意域名	检测模型从DNS流量中发现您的终端请求解析过这个风险系数高的域名，这个域名可能是远控、僵尸网络组织、矿池地址等恶意域名，这意味着您的终端可能被黑客利用。
	可疑Meterpreter反弹Shell连接	检测模型发现您的终端上存在可疑进程，正在尝试利用黑客工具Meterpreter将命令控制通道反弹至攻击者的终端。
	矿池通信行为	检测模型发现您的终端存在与矿池IP通信的流量，您的终端可能已被攻击者入侵用于挖矿。
	内网扫描	检测模型发现您的终端有进程在短时间内对多个内网IP的指定端口发起了疑似扫描行为，可能是攻击者在入侵后，尝试进行横向移动的行为。
	疑似敏感端口扫描行为	检测模型发现您终端上的某个进程在短时间内对敏感端口发起过多的网络请求，疑似存在端口扫描行为。
	异常网络流量	检测模型通过分析您终端的流量，发现存在异常的网络流量通信，可能是成功的漏洞利用、恶意软件通信、敏感信息泄露、可疑的代理隧道等，请根据告警详情信息做进一步判断处理。
	主动连接恶意下载源	检测模型通过HTTP流量发现您的终端正在尝试访问一个可疑的恶意下载源，可能是黑客通过弱口令或命令执行漏洞，从远程终端下载恶意文件，危害终端安全。
	Windows异常网络连接	检测模型发现您终端上某个进程的网络连接行为异常，很有可能与病毒、木马或黑客行为有关。
异常账号	使用可疑账号登录系统	检测模型发现当前有用户尝试使用默认禁用、系统内置账号或疑似黑客账号登录系统，可能是黑客的入侵行为。