云安全中心为用户提供全面的安全告警视图,通过启用防御能力帮助用户快速识别并处理安全风险。允许用户查看和管理正在发生的安全告警,还支持归档和导出历史告警数据以备后续分析。
查看安全告警统计数据
云安全中心对已开启的告警防御能力提供总览数据,帮助快速了解安全告警概况、已开启和未开启的防御项目。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
说明如果已开通威胁分析与响应服务,左侧导航栏入口将变更为。
在安全告警页面云工作负载保护平台(CWPP)页签上方,查看告警统计数据。
统计项
说明
相关操作
存在告警的服务器
存在安全告警的服务器数量。
单击数值,可跳转至主机资产页面查看详情。
急需处理的告警
风险等级为紧急的待处理告警数量。
说明建议优先处理此类告警。
单击数值,可快速筛选并定位所有紧急级别的告警。
待处理告警总数
所有待处理的告警总数。
默认展示在云工作负载保护平台(CWPP)页签的告警列表中。更多信息,请参见查看和处理安全告警。
精准防御
被恶意主机行为防御功能自动拦截的病毒告警数量。
说明病毒被自动拦截表示云安全中心已成功防御,无需手动处理。
单击数值,可筛选查看所有被自动拦截的病毒告警。
生效IP拦截策略/全部策略
生效IP拦截策略:已启用防暴力破解规则的拦截记录数。
全部策略:所有防暴力破解规则(含未启用)的总拦截记录数。
单击数值,可展开IP规则策略库面板,查看IP拦截策略详情。更多信息,请参见防暴力破解。
已隔离文件数
因处理告警而被隔离的威胁文件数量。病毒样本文件被隔离后,已无业务风险。
单击数值,可展开文件隔离箱面板,查看被隔离的文件详情。更多信息,请参见查看和恢复隔离文件。
网络防御告警
默认展示7天内攻击分析的统计信息:检测到的基础攻击并自动进行拦截和处理的数量。
单击数值,可查看攻击次数、攻击类型分布、攻击来源TOP 5、被攻击资产TOP 5和攻击详情列表。更多信息,请参见网络防御告警(原攻击分析)。
查看已归档的告警数据
当已处理的告警数量超过100条时,云安全中心会自动归档30天前的告警数据(未处理的告警不会被归档)。已归档的告警无法在控制台直接查看,但可以将其下载到本地进行分析。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
说明如果已开通威胁分析与响应服务,左侧导航栏入口将变更为。
在安全告警页面右上角,单击。
在归档数据对话框,查看已归档的数据。
在已归档数据的下载链接列单击下载,将归档数据下载到本地。
归档数据的文件格式为XLSX。归档数据下载时间依赖于网络带宽和文件大小,一般需要2~5分钟。
下载完成后,可以在归档数据文件中,查看历史告警的告警ID、告警名称、告警详情、告警等级、状态、影响资产、影响资产备注名称、影响概况和告警发生时间。
说明告警状态为已经过期,说明在发生告警后的30天内,未对该告警做任何处理。建议及时对云安全中心检测到的安全告警事件进行处理。
导出告警数据
云安全中心支持根据紧急程度、是否已处理、发生时间、资产分组、告警名称等条件筛选并导出安全告警数据。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
说明如果已开通威胁分析与响应服务,左侧导航栏入口将变更为。
在安全告警页面云工作负载保护平台(CWPP)页签,筛选需要导出的告警数据。
筛选数据后,云安全中心会导出筛选后的告警数据。
在告警列表右上角,单击
图标。等待数据导出完成后,在当前页面右上角导出完成对话框中单击下载,将告警数据下载到本地。
查看和恢复隔离文件
云安全中心可对检测到的威胁文件进行隔离处理,被成功隔离的文件会添加到文件隔离箱中。文件隔离30天后将被自动清除,在此期间,如果确定被隔离的文件无安全风险,可一键恢复被隔离的文件。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
说明如果已开通威胁分析与响应服务,左侧导航栏入口将变更为
在威胁分析与响应安全告警页面右上角,单击文件隔离箱。
在文件隔离箱面板,执行以下操作:
查看隔离文件:列表展示了被隔离文件的主机、路径、状态和隔离时间。
恢复文件:在目标文件的操作列单击恢复。文件将从隔离箱中移除,并可能重新出现在待处理告警列表中。
网络防御告警(原攻击分析)
背景信息
若启用了主机规则-恶意行为防御的网络防御类的规则和主机规则-防暴力破解策略,云安全中心会根据这些防护规则自动拦截检测出的攻击,并在网络防御告警页面为您展示攻击相关的数据。
新购买的云产品,需等待云安全中心自动完成该产品的网络攻击数据同步后(攻击数据同步需要3小时左右的时间),才可查看相关的攻击分析信息。
防御性告警为云安全中心自动拦截的结果,无需做任何处理。
注意事项
本功能提供的是基础防护。对于承载核心业务的资产,涉及风险较高的攻击事件,可参考如下建议构建更精细化的纵深防护体系。
使用 Web应用防火墙(WAF)防护更复杂的应用层攻击。
配置 云防火墙(Cloud Firewall)实现精细化的网络访问控制和边界防护。
针对高风险攻击来源IP,可在云防火墙或安全组中进行策略封禁,实现更彻底的隔离。
攻击数据详情
数据类别 | 具体内容 | 核心用途 |
攻击次数 | 在指定时间范围内,账号下所有资产遭受基础网络攻击的总计数。 | 快速了解整体攻击烈度,直观判断账号资产面临的网络安全压力大小。 |
攻击类型分布 | 以图表(如饼图、柱状图)形式展示不同攻击类型的数量及占比,常见类型包括暴力破解、Web 攻击、漏洞利用、DDoS 攻击等。 | 识别当前最主要的攻击手法,明确威胁核心方向,为针对性安全加固提供依据(如暴力破解占比高则优先强化账号密码策略)。 |
攻击来源 TOP 5 | 聚合统计并展示攻击次数最多的前 5 个攻击源 IP 地址,部分场景会附带 IP 所属地区、运营商等基础信息 | 快速锁定主要威胁来源,对于持续性、高频次攻击,可将这些 IP 作为重点分析对象(如溯源攻击组织)或直接纳入封禁名单。 |
被攻击资产 TOP 5 | 展示被攻击次数最多的前 5 个云资产,明确标注资产类型(如 ECS 弹性云服务器、SLB 负载均衡、RDS 数据库等)及资产 ID。 | 识别网络攻击中的 “热点” 资产,帮助优先定位高风险业务节点,集中资源对重点资产进行安全加固(如升级防护策略、修补漏洞)。 |
攻击详情列表 | 记录所有网络防御事件的完整日志,同时提供攻击关联漏洞(CVE)和攻击载荷(Payload)的信息。 | 提供原始、详细的攻击数据支撑,用于安全事件深度分析、合规审计(满足行业监管日志留存要求)及攻击事件溯源(如追踪特定攻击的完整链路)。 |
攻击次数
您可在攻击次数区域查看指定时间范围内资产被攻击的总次数曲线图和攻击次数峰谷值。鼠标悬浮在曲线图上可展示攻击发生的日期、时间和次数值。
攻击类型分布
您可在攻击类型分布区域,查看攻击类型名称和该类型攻击发生的总次数。
攻击来源TOP 5
您可在攻击来源TOP 5区域,查看攻击次数排名前五的攻击来源IP地址及其对应的攻击次数。
Tab 正文
被攻击资产TOP 5
您可在被攻击资产TOP 5区域,查看您资产中被攻击次数排名前5的资产公网IP地址及其被攻击次数。
攻击详情列表
您可在攻击详情列表中查看您资产受到的攻击的详细信息,包含攻击发生的时间、攻击源IP地址、被攻击的资产信息、攻击类型、攻击方法和攻击状态。
攻击详情列表展示攻击数据上限为10,000条。如需查看更多数据可切换时间范围查看指定时间范围内的全部攻击数据。
攻击详情参数表
参数 | 说明 |
攻击时间 | 攻击发生的时间。 |
攻击来源 | 发起攻击的源IP地址和区域。 |
被攻击资产 | 被攻击资产的名称和公网、私网IP地址。 |
攻击方法 | 发起攻击采用的HTTP请求方法,即POST或GET。 |
端口 | 被攻击的端口号,仅攻击类型为SSH暴力破解时会显示被攻击的端口号。 |
攻击类型 | 攻击事件的类型,例如SSH暴力破解、代码执行等。 |
攻击状态 | 攻击事件当前所处的状态。云安全中心在检测到攻击事件的同时基于云平台防御能力对常见攻击进行防御,已防御的攻击事件状态为已防御。异常入侵事件将会展示在安全告警页面云工作负载保护平台(CWPP)页签。 |
支持的操作
查看攻击来源详情
单击操作列详情,可查看指定网络防御告警的详细分析。
查看被攻击资产信息
在攻击事件列表,即可查看被攻击资产信息。
导出攻击事件列表
单击攻击事件列表左上方的
图标,将云安全中心检测出的攻击事件统一导出并保存到本地。导出的文件为Excel格式。
关闭拦截规则
在攻击事件列表中,部分攻击类型(例如SQL Server暴力破解、SSH暴力破解等)产生的事件的攻击类型列,会显示
图标。鼠标悬停在该图标上,可以看到关闭拦截规则对话框。支持关闭系统拦截规则的攻击类型如下:SQL Server暴力破解
SSH暴力破解
RDP 暴力破解
中国蚁剑 WebShell通信
中国菜刀 WebShell通信
XISE WebShell通信
WebShell上传
PHP WebShell上传
JSP WebShell上传
ASP WebShell上传
特殊后缀 WebShell上传
WebShell上传智能防御
自适应Web攻击防御
Java通用RCE漏洞拦截
如果您的系统不需要云安全中心自动拦截此类可疑攻击行为,您可以单击去恶意行为防御配置,前往恶意行为防御页面关闭该系统防御规则。
