AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页

分析处理安全告警

更新时间:
复制为 MD 格式
产品详情
我的收藏

云安全中心在检测到资产入侵、被植入恶意软件或异常行为时会生成安全告警。及时并正确地处理告警是保障业务稳定和数据安全的关键。本文介绍如何遵循应急响应流程,快速评估风险、清除威胁并加固系统。

安全告警处置评估

在处理安全事件前,需对告警进行影响面评估、攻击分析,识别误报,避免影响系统的正常运行。可通过安全告警的详情页,获取告警信息以此辅助进行判断。

进入告警详情页

  1. 登录云安全中心控制台,在左侧导航栏,选择检测响应 > 安全告警

    说明

    如果已开通 Agentic SOC 服务,左侧导航栏入口将变更为Agentic SOC > 安全告警

  2. 安全告警页面的云工作负载保护平台(CWPP)页签,定位至目标告警,单击操作详情,进入告警详情页查看完整信息。

    重要

    • 可在系统设置 > 通知设置开启告警相关通知,根据收到的告警相关信息,如告警名称快速定位目标告警。

    • 旗舰版支持按资产类型筛选告警,在告警列表上方,单击全部、主机、容器、K8s 或云产品,查看对应资产类型的告警。

    • 云安全中心新增大模型检测引擎,可智能识别恶意文件,可将筛选条件设为AI检出(筛选值设置为),即可查看 AI 检测的告警。更多说明,请参见查看AI检测的恶意文件告警

告警详情解析

可通过安全AI助手告警攻击溯源、告警说明等信息,获取告警的判定依据、发生次数,可能引起的原因等信息,辅助判断当前告警是否为误报,并给出处理方案。

说明

告警详情页中包含多个时间字段,含义如下:

  • 首次检测时间:该告警首次被云安全中心检测到的时间。

  • 最近检测时间:该告警最后一次被检测到的时间。如果同一进程或文件多次触发告警,此时间会持续更新。

  • 告警上报时间:客户端将告警数据上报到云端的时间。

对于多次出现的可疑进程,可单击进程路径查看详细的检测时间记录,帮助判断告警触发的具体时间和频率。

重要

云安全中心的安全告警查看和处理功能仅支持通过Web 控制台操作,手机阿里云 App 暂不支持相关功能。请登录阿里云官网进入 Web 控制台进行告警处理。

安全 AI 助手

提供大模型对话能力,对安全告警进行 AI 分析,获取攻击的过程、可能引起的原因、判断为告警威胁的依据和处置建议。更多信息请参见AI告警分析及处理

评估示例:

分析结果分为告警解释判定依据分析总结三部分,其中判定依据会通过威胁情报查询源 IP 的归属及威胁等级。

如上述分析结果所示,AI 助手评估本次异常登录未发生直接威胁,但存在风险建议是持续观察和排查,可暂时不作直接处理。

告警说明

告警说明用于提示系统监测到的异常情况,告知潜在风险,说明异常特征及关联威胁,同时提供处置建议。

评估示例:

image如上图所示:

提示风险后果:修改相关配置文件,留下登录后门。

处置建议:找业务部门确认当前进程是否是正常业务场景,若不是则优先结束当前进程,后续排查系统是否存在其他的威胁。

告警溯源

云安全中心提供自动化攻击溯源功能,整合多种云产品日志,通过大数据分析生成可视化入侵链路图,并支持原始数据预览。该功能帮助快速定位入侵原因并制定应急策略,适用于云环境下的 Web 入侵、蠕虫事件、勒索病毒、主动连接恶意下载源等场景的应急响应与溯源。

  • 能力说明:

    • 仅绑定了企业版旗舰版授权或主机全面防护主机及容器全面防护的服务器支持该功能。

    • 云安全中心会在检测到威胁后 10 分钟,生成自动化攻击溯源的链路。建议在告警发生 10 分钟后,再查看该告警相关的攻击溯源信息。

    • 安全告警触发后超过 3 个月,该告警的自动化攻击溯源信息将被自动清除。请及时查看告警事件的攻击溯源信息。

  • 评估示例

    • 在溯源可视图中单击左上角的AI分析,云安全中心通过大模型对攻击路径进行分析,推测入侵原因及利用的系统漏洞或文件,并给出处理建议。

    • 在详情页溯源区域,查看攻击链是否完整有效。攻击链路越完整,越需要尽快处理该告警。参考下方说明判断是否是有效链路:

      • 无效链路: 溯源结果只显示单点扫描或试探行为(如孤立的端口扫描、未命中的漏洞利用尝试),且未触发后续行为(如未建立连接、未执行命令、未下载恶意文件)。

      • 有效链路: 溯源图显示清晰的入侵路径(例如:漏洞利用 → Webshell 写入 → 内网探测 → 恶意文件下载 → 横向移动)。

    • 单击溯源图中的节点,在左侧节点详情区域,查看是否达成攻击目标。例如:

      • 检查终端行为: 攻击者在服务器上执行了命令(如whoaminet user)。

      • 检查数据泄露: 有异常外连行为(连接矿池、C2 服务器)或敏感文件读取/上传。

      • 检查持久化痕迹: 创建了后门账户、计划任务或恶意服务。

    • 单击溯源图中的节点,在左侧节点详情区域,查看原始日志是否可验证(如 WAF 拦截记录、主机进程创建日志、网络连接日志)。

      • 可验证:存在底层日志佐证(如 WAF 拦截记录、主机执行恶意命令的进程日志),证明攻击确实发生,若已被拦截则可标记为“已处理”,无需处理告警。若没被拦截需要尽快处理。

      • 不可验证: 无日志支撑(可能遭遇日志被删除、绕过检测等),此场景需高度警惕,可能是高级攻击痕迹。

沙箱检测

云安全中心提供了沙箱检测能力,通过在一个安全隔离的环境中运行文件,分析静态和动态的文件行为数据,安全地运行可疑的应用程序,检测文件的可疑行为。当产生告警时,可通过沙箱检测结果辅助处置恶意程序。

说明

仅部分恶意软件告警支持沙箱检测功能,请以实际页面显示为准。

  1. 在安全告警列表,找到目标安全告警,在操作列单击详情

  2. 沙箱区域,查看沙箱检测的结果。

评估示例

沙箱检测结果页面顶部展示文件信息(文件名称、威胁标签、SHA1/MD5/SHA256 哈希值),下方包含五个 Tab 页签:行为标签进程详情网络行为文件行为ATT&CK 矩阵。ATT&CK 矩阵视图按攻击阶段分为 12 列(初始访问、执行、持久化、特权提升、防御绕过、凭据访问、披露、横向移动、收集、命令与控制、数据渗漏、影响),每列下方展示对应的攻击技术卡片及命中次数,红色编号表示高危阶段。

  • 行为标签:可对入侵文件进行特征打标,标记入侵文件引起的高危操作(红色为最需要注意的入侵行为)。

  • ATT&CK矩阵:显示沙箱检测运行时的流程经过,并标记入侵文件引起的高危操作(红色为最需要注意的入侵行为)。

告警处理快速指引

重要

  • 若核实告警信息后,判断为正常行为或无需处理,可选择忽略加白名单方式来处理安全告警。

  • 若遇到顽固病毒威胁或同一告警反复出现,建议控制台处理后参照安全加固与攻击预防进行安全加固。

告警类型

告警名称

推荐处理方式

恶意软件

挖矿程序

病毒查杀

DDoS 木马

木马程序

恶意程序

漏洞利用程序

可疑 Powershell 指令

后门程序

反弹 Shell 后门

感染型病毒

深度查杀

异常登录

恶意 IP 登录

阻断

ECS 暴力破解成功

ECS 非常用账号登录

ECS 在非常用地登录

后门账户登录

网站后门

发现后门(Webshell)文件

隔离

包含 WEBSHELL 代码的日志/图片文件

发现挂马盗链后门文件

发现任意文件写入后门

进程异常行为

Java 应用执行异常指令

结束进程

可疑的进程路径

网络代理转发行为

可疑 Powershell 指令

持久化后门创建行为

SSH 后门

可疑编码命令

可疑命令执行

恶意脚本

恶意脚本代码执行

结束进程

精准防御

对抗安全软件

深度查杀

云产品威胁检测

RAM 子账号异地登录

  1. 修改账号密码或通过RAM限制用户的访问IP地址

  2. 变更告警状态为已手工处理

黑客工具利用 AK

  1. 删除RAM用户的AccessKey禁用RAM用户的AccessKey

  2. 变更告警状态为已手工处理

异常的角色权限遍历行为

  1. 使用 RAM 管理员登录RAM 控制台修改RAM 用户权限。

  2. 变更告警状态为已手工处理

RAM 用户登录控制台执行敏感操作

其他

云安全中心客户端异常离线

问题排查

手动处理告警

重要

如果通过安全事件处置功能处理了由云安全中心告警聚合而成的事件,云安全中心会自动更新云工作负载保护平台(CWPP)页签下相关告警的状态,无需手动进行告警状态更新。

处理前准备

  • 创建快照备份:在处理安全告警前,建议先为服务器创建快照备份,以防处理过程中影响业务或数据丢失。快照创建操作需在 ECS 控制台进行,请参见创建自动快照策略

  • 服务器端排查:可以登录服务器使用命令行工具辅助排查可疑进程。常用命令如下:

    • Linux 服务器:使用 ps aux | grep <可疑进程名> 检查可疑进程是否仍在运行。

    • Linux 服务器:使用 lsof -p <进程 PID> 查看进程打开的文件和网络连接。

    • Windows 服务器:可通过任务管理器或控制台 VNC 登录服务器查看进程信息。异常进程通常在 C:\Users\Administrator\AppData\Local 等目录下,请确认是否为业务所需进程后再进行删除操作。

选择处理方式

处理方式可分为以下几类:

  • 威胁清除:直接移除和阻断已知安全威胁,修复感染,防止新的攻击、封堵威胁来源,保护资产安全

  • 告警免打扰:用于处理误报、已知或可接受风险,通过加白、忽略等方式标记”本次告警为无效或无需处理”,并可控制后续是否继续告警。

  • 问题排查:排查云安全中心客户端自身异常,辅助诊断。

威胁清除

病毒查杀

  • 常见使用场景

    • 确认恶意活动:当云安全中心检测到病毒、木马、勒索软件等恶意进程正在运行,且需立即阻断其对系统的危害时。

    • 应急响应需求:需快速遏制病毒传播或数据泄露风险,避免威胁扩散至其他服务器。

  • 前置检查

    病毒查杀可能存在服务中断风险。为避免影响正常业务,建议在执行处理前,对源文件进行检查,常见检查点如下:

    • 验证文件属性:通过文件路径、签名、哈希值确认是否为病毒(避免误杀系统/业务文件)。

    • 业务依赖评估:检查该文件是否被关键服务调用(如 nginxmysql 相关组件)。

  • 处理说明

    • 立即终止病毒进程并将病毒文件移至隔离区,隔离后的文件无法执行、访问或传播。

      警告

      • 结束进程可能造成依赖该进程的服务异常(如病毒伪装成合法进程)。

      • 若被隔离文件是被植入恶意代码的业务文件(如核心应用组件),隔离可能导致服务中断。

    • 被成功隔离的文件在 30 天内可执行一键恢复,恢复的文件将重新回到安全告警列表中,由云安全中心继续对该文件进行监测。具体的恢复操作请参见查看和恢复隔离文件

      说明

      未在 30 天内恢复的文件将被自动清除,不可找回。

  • 后续处理

    定期审查隔离区:30 天内确认文件性质,避免误删后无法恢复。如何查看隔离区文件请参见查看和恢复隔离文件

深度查杀

深度查杀由云安全中心安全专家团队经过对该持久化、顽固型病毒进行深度分析、测试后,推出的专项查杀能力。

  • 常见使用场景

    深度查杀是针对顽固型、感染型病毒的专项解决方案。这类病毒的特征是:

    • 感染宿主文件: 病毒会注入系统文件、应用程序文件或个人文档中,使其成为病毒的一部分。

    • 难以根除: 普通的病毒查杀仅删除病毒母体,但无法修复已被感染的文件,导致问题反复出现。

    说明

    如遇到的不是此类病毒,请优先使用常规的”病毒查杀”功能。

  • 前置检查

    深度查杀可能存在误删文件风险、服务中断风险、数据完整性风险,为避免影响正常业务,建议在执行处理前,对源文件进行检查,常见检查点如下:

    • 验证文件属性:通过文件路径、签名、哈希值确认是否为病毒(避免误杀系统/业务文件)。

    • 业务依赖评估:检查该文件是否被关键服务调用(如 nginxmysql 相关组件)。

  • 处理说明

    • 通过查杀恶意病毒进程、隔离恶意文件和清除病毒木马的持久化驻留项等手段清理顽固性病毒。

    • 此外提供创建快照功能,还可通过创建快照备份数据,以便深度查杀清除有用数据时,通过快照恢复被清除数据。

      重要

      创建和保留快照会产生费用,费用由快照产品收取,默认采用按量付费(后付费)模式,例如 40GB 系统盘,快照存储一天的费用大约是 0.15 元 ,详细说明请参见快照计费

  • 后续处理

    定期审查隔离区:30 天内确认文件性质,避免误删后无法恢复。如何查看隔离区文件请参见查看和恢复隔离文件

隔离

  • 常见使用场景

    当确认文件为后门程序、病毒等恶意文件,需立即阻断其运行。

  • 处理说明

    • 系统会将可疑文件移至隔离区,隔离后的文件无法执行、访问或传播。

      警告

      若被隔离文件是被植入恶意代码的业务文件(如核心应用组件),隔离可能导致服务中断。

    • 被成功隔离的文件在 30 天内可执行一键恢复,恢复的文件将重新回到安全告警列表中,由云安全中心继续对该文件进行监测。具体的恢复操作请参见查看和恢复隔离文件

      说明

      未在 30 天内恢复的文件将被自动清除,不可找回。

  • 后续处理

    定期审查隔离区:30 天内确认文件性质,避免误删后无法恢复。如何查看隔离区文件请参见查看和恢复隔离文件

结束进程

  • 常见使用场景

    多用于处理进程异常行为类型的告警,例如 MySQL 执行异常指令、WEB 漏洞利用攻击导致异常指令执行。

  • 处理说明

    云安全中心将尝试结束该进程的运行,若执行失败,可尝试手动终止进程kill 进程号,然后选择“已手工处理”处理方式。

    说明

    进程号可在告警详情页-更多信息中查看。

阻断

  • 常见使用场景

    多用于异常登录,暴力破解等 IP 攻击场景。

  • 处理说明

    • 会生成安全组防御规则,拦截恶意 IP 的访问。

      • 可单击详情,查看生成的防御规则基本信息。如生效资产规则方向端口范围规则方向

      • 云安全中心会根据客户端安装情况自动选择拦截机制,支持的拦截机制如下:

        • 云安全中心:优先使用云安全中心插件拦截登录行为。在云安全中心实例为高级版、企业版或旗舰版且开启了恶意网络行为防御开关时,云安全中心会自动选择该插件。开启恶意网络行为防御开关的具体操作,请参见主动防御

        • ECS安全组:该拦截规则启用时会在安全组中自动创建相应规则,该拦截规则过期或禁用后会自动删除该规则。

    • 规则有效期即拦截规则的实效时间,默认为 6 小时,不可更改。

    • 生成的拦截规则可前往防护配置 > 主机防护 > 主机规则管理防暴力破解页签中系统规则中查看。

      说明

      若需要提前终止拦截策略,可在系统规则中关闭启用开关。

告警免打扰

云安全中心主要通过加白名单忽略方式实现告警免打扰针对特定告警还支持不再拦截此规则仅防御不通知已手工处理

加白名单忽略的区别

差异点

加白名单

忽略

适用场景

永久性例外问题

适用于临时性、偶发性的误报或已知问题。

影响范围

  • 当相同主机资产,相同文件路径出现了和本次告警相同 MD5 的文件,

  • 若设置其他加白规则,后续符合加白规则的告警也将不再进行通知。

仅针对当前告警进行处理,对后续告警无影响。

加白名单

警告

加白名单后,相同告警和符合加白规则的告警,均不再通知,请谨慎选择。

  • 常见使用场景

    当前告警为误报,或添加一个永久性例外规则。如对外异常 TCP 发包可疑进程实为正常业务交互、疑似扫描行为实为正常网络检测等,此时需设置加白规则来规避此类误报。

  • 处理结果说明

    • 对当前告警

      • 本次告警变为 “已处理”,告警状态是手动加白。​

      • 当相同告警再次发生,不会再生成告警数据,但会更新本次告警的最新发生时间。

        什么是相同告警?

        相同告警是指告警特征高度一致的安全威胁。例如:

        • 病毒类的告警:相同的资产+相同的病毒文件路径+相同的病毒文件 MD5。

        • 异常登录:相同的资产+相同的登录 IP。

    • 对后续告警

      若设置了特定加白规则,符合定制加白规则的告警再次发生时,该告警将自动进入已处理列表中,状态为自动加白,并且不再进行告警通知。

  • 设置特定加白规则(可选)

    在告警处理弹窗,单击加白名单页签。单击+新增规则新增一条规则。单击image可删除一条规则。

    重要

    • 设置多条规则时,规则之间为“OR”关系,满足任何一条即进行加白处理。

    • 配置规则时要保证精准性,避免范围过宽。比如设置 “路径包含:/data/” 可能误将其他敏感子目录纳入白名单,增加安全风险。​

    每一条规则从左到右一共 4 个配置框,说明如下:

    1. 告警信息字段:可在详情页的更多信息中,查看当前告警支持哪些告警信息字段。

    2. 条件类型:支持正则匹配、大于、等于、小于、包含等操作。部分规则说明如下:

      • 正则表达式:通过正则表达式可精准匹配特定模式的内容。例如,要对 “/data/app/logs/” 文件夹下所有内容加白,可设置规则 “路径匹配正则:^/data/app/logs/.$”,能匹配该文件夹及子目录下的所有文件或进程。​

      • 包含关键词:设置 “路径包含:D:\programs\test\” 的规则,所有路径中包含该文件夹的事件都会被纳入白名单。

    3. 条件值:支持常量、正则表达式。

    4. 适用资产

      • 全部资产:对新增资产及已经接入的所有资产生效。

      • 仅针对当前资产:仅对当前告警涉及的资产有效。

  • 取消加白

    • 取消自动加白规则

      重要

      • 只对后续产生的告警有影响,不再自动为符合加白规则的告警加白。

      • 对已经处理过的告警无影响,告警状态无变化。

      1. 登录云安全中心控制台,在左侧导航栏,选择检测响应 > 安全告警

        说明

        已购买 Agentic SOC 服务时,请在左侧导航栏,选择Agentic SOC > 安全告警

      2. 单击云工作负载保护平台(CWPP)页签右上角的云工作负载告警管理,选择安全告警设置

      3. 安全告警设置页的告警处置规则区域,处理方式选择自动加白

      4. 定位至目标规则,单击操作列的删除,即可取消自动加白规则。

    • 取消告警加白

      重要

      取消后的告警会重新出现在未处理的告警列表中,需要再次评估和处理。

      1. 需登录云安全中心控制台,在左侧导航栏,选择检测响应 > 安全告警

        说明

        已购买 Agentic SOC 服务时,请在左侧导航栏,选择Agentic SOC > 安全告警

      2. 云工作负载保护平台(CWPP)页签,将是否已处理的筛选条件至为已处理

      3. 定位至需要取消加白的告警数据,点击操作列取消加白按钮,即可取消当前告警的加白。

        说明

        也可同时勾选多个告警数据后,单击列表底部的取消加白按钮,实现批量取消加白。

忽略

重要

  • “忽略”仅是一种告警状态管理操作,它本身并不解决触发告警的根本安全问题。

  • 务必在充分确认是误报或已知/接受风险后才使用,避免掩盖真实的攻击。

  • 建议定期(例如每周或每月)查看“已忽略”状态的告警列表。

  • 常见使用场景

    • 确认为误报或优先级较低。

    • 临时性/已知问题: 告警指向的问题确实存在,但属于已知且已接受的风险,或者是一个临时性、非恶意的状态(例如,内部授权的渗透测试活动、特定维护窗口期的异常行为),暂时不打算或无法立即修复根本原因,但需要清理当前告警列表

    • 测试或调试环境: 在非生产环境(如开发、测试环境)中,频繁出现预期内的、不影响安全的告警,干扰正常监控,需要暂时屏蔽。

  • 处理结果说明

    • 对当前告警:本次告警变为 “已处理”,告警状态是已忽略。​

    • 对后续告警:无影响,对同类型告警再出现时,云安全中心将再次告警。

  • 取消忽略

    1. 登录云安全中心控制台,在左侧导航栏,选择检测响应 > 安全告警

      说明

      已购买 Agentic SOC 服务时,请在左侧导航栏,选择Agentic SOC > 安全告警

    2. 云工作负载保护平台(CWPP)页签,将是否已处理的筛选条件至为已处理

    3. 定位至需要取消忽略的告警数据,点击操作列取消忽略按钮,即可取消当前告警的忽略状态。

      说明

      也可同时勾选多个告警数据后,单击列表底部的取消忽略按钮,实现批量取消忽略。

不再拦截此规则

  • 适用场景

    目前仅支持处理由防护配置 > 主机防护 > 主机规则管理恶意行为防御系统防御规则自适应 WebShell 通信拦截规则生成的告警。

  • 处理说明

    系统将不拦截对应 URI 的请求,不再产生告警。

仅防御不通知

警告

后续相同告警不再单独通知,请谨慎选择。

  • 适用场景

    防护配置 > 主机防护 > 主机规则管理恶意行为防御规则生成的告警(告警类型为精准防御)。

  • 处理说明

    • 当前告警:本次告警变为 “已处理”。

    • 后续告警:当再次命中相同的防御规则时,生成的告警事件将自动进入已处理列表中,不再进行告警通知。

  • 取消仅防御不通知规则

    1. 登录云安全中心控制台,在左侧导航栏,选择检测响应 > 安全告警

      说明

      已购买 Agentic SOC 服务时,请在左侧导航栏,选择Agentic SOC > 安全告警

    2. 单击云工作负载保护平台(CWPP)页签右上角的云工作负载告警管理,选择安全告警设置

    3. 安全告警设置页的告警处置规则区域,处理方式选择仅防御不通知

    4. 定位至目标规则,单击操作列的删除,即可取消自动加白规则。

已手工处理

如果已手动处理该告警,请选择我已手工处理,当前告警状态将更新为我已手工处理

问题排查

适用场景

仅支持处理云安全中心客户端离线异常告警。

处理说明

云安全中心的客户端问题诊断程序将在本机采集与客户端相关的网络、进程、日志等数据,并上报云安全中心进行分析。

重要

检查期间会占用一定的 CPU 和内存,请评估后使用。

  • 选择问题模式:

    • 常规模式:收集客户端相关日志数据上报至云安全中心进行分析。

    • 增强模式:采集与客户端相关的网络、进程、日志等数据上报云安全中心进行分析。

  • 单击立即处理后,会生成一个诊断任务。可在资产中心 > 主机资产页面右上角的客户端任务管理,查看诊断任务结果及进度。更多内容,可参见客户端排查

    说明

    • 如果在结果列给出解决方案,按照给出的解决方案处理即可。

    • 如果在结果列没有给出解决方案,请单击操作列的下载诊断日志,将导出的诊断日志和 AliUid 提供给相关人员进一步做验证分析。

控制台处理

  1. 登录云安全中心控制台,在左侧导航栏,选择检测响应 > 安全告警

    说明

    如果已开通 Agentic SOC 服务,左侧导航栏入口将变更为Agentic SOC > 安全告警

  2. 安全告警页面的云工作负载保护平台(CWPP)页签,定位到目标告警,在操作列单击处理,选择告警的处理方式,然后单击立即处理

    说明

    • 不同类型告警支持的处理方式不同,请以控制台页面显示为准。

    • 可以根据实际需要填写备注信息,备注可填写处置告警的原因和操作人,方便管理已处理告警。

处理后验证

  • 执行全盘扫描:处理告警后,建议对服务器执行全盘扫描确认无新告警。全盘扫描功能需要开通无代理检测(按量付费),请参见病毒查杀相关文档。

  • 确认无新告警:处理后持续观察告警列表,确认同一类型的告警不再出现。如果告警仍然反复出现,可能说明存在持久化后门未清除,请参见下方”告警处理后又复发”的排查方案。

AI 辅助处置告警AI告警降噪

AI 告警降噪旨在帮助安全运营人员更高效地处理安全告警,主要能力:

  • 智能过滤降噪:协助安全运营人员合理定义告警处置优先级,从海量数据中精准过滤掉误报和低风险噪音,帮助运营人员快速锁定高风险事件,明确处置的优先级。

  • 辅助精准处置:基于 AI 研判结果生成推荐处置方案,人工确认后执行处置动作,提升处置效率。

操作步骤

  1. 开启AI告警降噪

    进入安全告警页面云工作负载保护平台(CWPP)页签,打开告警列表右上方的AI告警降噪开关。

  2. 查看 AI 分析结果

    功能开启后,系统将每日自动对新增的告警进行深入分析。在告警列表的AI分析列,可以查看每条告警的研判结果:

    • 真实攻击:高置信度确认为真实威胁,建议优先处理。

    • 疑似误报:大概率为误报,可降低处理优先级。

    • 信息不足(未知):因信息不足等原因,AI 暂时无法判断。

    在告警列表底部,可以勾选告警记录后单击AI 自动处置进行批量处置。

  3. 执行 AI 自动处置

    1. 进入AI告警处置页面

      在安全告警列表中,将筛选条件 AI研判结果设置为全部或按需筛选。选希望进行 AI 自动处理的告警,单击列表下方的AI自动处置按钮。

      说明

      也可将鼠标移至AI告警降噪开关区域,单击气泡弹窗中的立即处理

    2. 评估并确认处置方案

      1. AI告警处置页面,可查看本次将要处理的实体(如恶意文件、异常进程、风险 IP 等)以及推荐的处置方案

      2. 仔细评估处置方案是否可行。确认无误后,单击确认执行

  4. 查看处置结果

    1. 处置完成后,回到安全告警列表,并将筛选条件是否已处理设置为已处理

    2. 查看由 AI 自动处置完成的告警,其状态将显示为AI处置

配额与限制

  • 生效范围:仅对开启后新产生的告警进行分析和处置,历史告警不会被处理。

  • 每日研判数量限制

    • 每台主机每日最多对 20 条告警进行 AI 研判。

    • 同时触发研判多条告警时,系统按告警产生时间排序。

  • AI 自动处置范围限制:

    AI 自动处置功能仅适用于同时满足以下两个条件的告警:

    • 经 AI 研判为真实攻击告警;

    • 告警中包含明确可被处置的实体(如文件、进程、IP 等)。

应急响应

应急响应操作

  • 修改密码:收到异常登录告警后,如非本人操作需立即修改ECS实例密码。可在ECS控制台通过"在线重置实例密码"功能操作。对于SSH弱口令入侵场景,需立即将root密码修改为包含大小写字母、数字和特殊符号的复杂组合。

  • 封禁攻击源IP:确认相关恶意进程已结束,在安全组中封禁攻击者源IP。可在阿里云安全组配置拒绝相关IP的所有端口访问以立即阻断异地登录。

  • 排查持久化后门:检查定时任务(crontab)、启动项、SSH公钥(~/.ssh/authorized_keys)等文件是否有可疑项,确保攻击者未留下持久化后门。

本地日志排查

除使用云安全中心的告警攻击溯源功能外,还可以手动检查服务器系统日志来排查入侵途径:

  • Linux服务器:检查 /var/log/secure/var/log/auth.log 文件,确认异常登录记录和攻击来源。

  • Windows服务器:通过事件查看器查看安全日志,关注登录成功/失败事件。

常见病毒告警处理实践教程

安全加固与攻击预防

  • 升级云安全中心版本:企业版和旗舰版支持病毒自动隔离(即病毒自动查杀)功能为您提供精准防御能力,支持更多的安全检测项。

  • 收紧访问控制:仅开放必要的业务端口(如80、443),对管理端口(如22、3389)和数据库端口(如3306)配置严格的IP白名单访问策略。

    说明

    若是阿里云 ECS服务器可参见管理安全组进行操作。

  • 设置复杂服务器密码:为服务器和应用设置包含大小写字母、数字和特殊符号的复杂密码。

  • 升级软件:请及时将应用软件更新至官方最新版本,避免使用已停止维护或存在已知安全漏洞的旧版本。

  • 定期备份:对重要数据和服务器系统盘创建定期快照策略。

    说明

    若是阿里云 ECS服务器可参见创建自动快照策略进行操作。

  • 及时修复漏洞:定期使用云安全中心漏洞修复功能及时修补系统高危漏洞和应用漏洞。

  • 重置服务器系统(谨慎选择)

    如果病毒入侵较深,关联到系统底层组件,强烈建议您在备份重要数据后,重置服务器的系统。具体操作步骤如下:

    1. 创建快照备份服务器上的重要数据。具体操作,请参见手动创建单个快照

    2. 初始化服务器的操作系统。具体操作,请参见重新初始化系统盘(重置操作系统)

    3. 使用快照生成云盘。具体操作,请参见使用快照创建数据盘

    4. 挂载云盘到重装系统后的服务器上。具体操作,请参见挂载数据盘

  • 更多安全防护建议,请您查看操作系统安全加固

常见问题

告警处理问题

  • 告警处理后又复发(反复感染同一种病毒)怎么办?

    • 处理后复发可能原因如下:

      • 弱口令: SSH/RDP/数据库密码过于简单。

      • 漏洞未修复: Redis, XXL-JOB, WebLogic 等应用存在高危漏洞。

      • 后门潜伏: 初次清理不彻底,留下了隐藏的后门。

      • 数据污染: 恢复了带有病毒的备份/快照。

    • 处理方案:

      • 可参照安全加固与攻击预防进行安全加固。

      • 完成病毒处理后,建议备份数据重启服务器及应用

        警告

        • 重启服务器会造成服务短暂中断,在此期间依赖该服务器运行的网站、应用程序等将无法正常访问,可能影响用户体验或业务流程的连续性,请在业务低峰期操作。

        • 部分部署在服务器上的应用因未配置自动启动机制或依赖特定环境变量,通常需要手动重新启动,否则会导致应用服务不可用。例如特定版本的消息队列,请提前评估重启方案。

      • 若重启后仍然无效,请备份数据重置服务器系统

        操作路径:在 ECS 控制台找到对应实例,点击实例名称,在右上角"全部操作"中找到"磁盘和镜像 > 重新初始化磁盘"(需在关机状态下操作)。详细步骤请参见

        如何重置服务器系统?

        1. 创建快照备份服务器上的重要数据。具体操作,请参见手动创建单个快照

        2. 初始化服务器的操作系统。具体操作,请参见重新初始化系统盘(重置操作系统)

        3. 使用快照生成云盘。具体操作,请参见使用快照创建数据盘

        4. 挂载云盘到重装系统后的服务器上。具体操作,请参见挂载数据盘

  • 病毒文件(木马、挖矿)删除不了?

    该文件及父目录被添加了隐藏权限。需使用chattr -i命令解除文件和父目录的 i 权限后,再进行删除。

  • 服务器存在 DDoS 木马告警,文件已手动删除但仍提示?

    文件未删除干净。处理方案:

    1. 云安全中心为免费版本时,可开通天免费试用企业版或旗舰版。或者可参考购买云安全中心,升级云安全中心版本至防病毒版本或企业版。

    2. 开通后在安全告警处理界面,找到“DDoS 木马” ,单击处理按钮,选择病毒查杀。系统将自动结束木马进程并隔离文件。更多内容参见病毒查杀

  • 精准防御告警类告警如何加白?

    精准防御产生的告警,依赖于防御插件,此类告警产生后一定会自动产生拦截,需要在主机规则管理处手动加白。操作步骤如下:

    1. 访问云安全中心控制台-防护设置-主机防护-主机规则管理,在页面左侧顶部,选择需防护资产所在的区域:中国内地非中国内地

    2. 恶意行为防御页签自定义防御规则子页签下,单击新建规则。支持加白的类型如下:

      • 进程Hash

      • 命令行

      • 进程网络

      • 文件读写

      • 操作注册表

      • 加载动态链接库

      • 文件重命名

  • 告警处理时只有"加白"和"忽略"选项怎么办?

    部分告警在处理时可能只有"加白"和"忽略"选项,缺少"结束进程"和"病毒查杀"选项。这通常是因为告警对应的进程已不在运行或文件已被删除。处理建议:

    • 如果确认威胁已清除(进程已结束、文件已删除),可以选择"忽略"或"已手工处理"来关闭告警。

    • 如果仍需要结束进程,可先选择"结束进程"操作后刷新页面重新查看处理选项。

    • 对于顽固病毒或反复出现的告警,建议参照上方"安全加固与攻击预防"进行彻底处理。

  • 收到服务器疑似恶意行为通知(大规模 SSH 端口扫描/对外发起攻击)如何处理?

    • 服务器已关闭:如果服务器已不再使用,可先忽略该通知。

    • 需继续使用:建议重新安装系统彻底清除病毒。在 ECS 控制台找到对应实例,在右上角"全部操作"中找到"初始化云盘"(需在关机状态下操作)。重装后做好安全加固:配置强密码、限制安全组仅允许指定 IP 进行远程登录、只放行必要业务端口。

    • 关于封禁:重装系统后若不再检测到对外攻击行为,一般不会触发平台封禁处罚。病毒查杀无异常后通常不会有封禁,如存在访问问题需排查其他原因(如安全组配置、服务器内部防火墙等)。

  • 病毒/恶意文件删除后为什么告警仍然持续发送通知?

    云安全中心会保留历史威胁记录(保留期约 1 年)。即使病毒文件已被删除,如果未对告警执行处理操作(如忽略、加白等),系统仍会基于历史记录持续发送通知。处理建议:

    • 确认威胁已清除后,在告警列表中对相关告警执行"忽略"或"已手工处理"操作。

    • 如果告警时间在安全操作之前,可以确认安全后忽略该告警。

  • 更换公网 IP 后仍收到旧 IP 的异常登录告警如何处理?

    更换 IP 后的旧 IP 告警通常是云安全中心基于历史登录行为触发的。处理建议:

    • 确认告警时间在换 IP 之前的,可以忽略该告警。

    • 在资产中心同步最新资产信息,确保云安全中心记录的是当前有效的 IP 地址。

  • 弱口令告警在详情中无法排查到具体的弱口令用户和密码?

    在告警页面右侧操作列表中点击"详情"按钮,可查看检测到的弱口令用户和用户口令信息。如果详情中仍未显示具体信息,可能是该告警为历史告警或数据已过期,建议及时修改相关账户密码为包含大小写字母、数字和特殊符号的复杂密码。

  • 如何授权阿里云工程师上机排查和处理病毒?

    • 在工单中填写授权信息,提供服务器密码,授权阿里云工程师远程上机协助排查处理。

    • 前置条件:高风险操作需先创建快照备份才能授权工程师上机,无快照不允许操作。工程师无法代替用户操作快照创建,请先自行完成快照备份。

    • 若不知道服务器密码,可在 ECS 控制台重置实例密码。

控制台功能问题

  • 告警显示文件不存在怎么办?

    这可能是因为病毒已被其他方式清除或病毒自身清理了痕迹,可在告警列表中点击“忽略”或“已手工处理”来清除此条告警。

  • 收到安全告警,但控制台没有相关的数据?

    1. 确认当前云安全中心版本:免费版功能有限,建议参考购买云安全中心,升级云安全中心版本至防病毒版本或企业版。

    2. 使用其病毒查杀功能进行扫描和处理。

  • 如何批量处理多条告警?

    目前云安全中心仅支持批量加白、忽略、取消加白、取消忽略等方式来处理安全告警。

    1. 登录云安全中心控制台,在左侧导航栏,选择检测响应 > 安全告警进入安全告警列表,批量勾选选择需要处理的告警。

    2. 单击左下角忽略本次加白名单取消加白取消忽略按钮即可。

  • 为何安全告警处理按钮是灰色的?

上一篇:安全告警设置下一篇:管理告警信息