文档

查看和处理安全告警

更新时间:
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

为了您的资产安全,建议您及时查看和处理云安全中心检测出的安全告警。本文介绍如何查看和处理安全告警。

查看安全告警

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择检测响应 > 安全告警处理

  3. 安全告警处理页面,查看安全告警。

    快速筛选告警

    云安全中心提供多种搜索组件,方便您快速筛选出需要查询的告警。

    • 通过资产类型筛选告警

      旗舰版支持该操作,其他版本均不支持。在告警列表上方,单击全部主机容器K8S云产品,查看对应资产类型的告警。

    • 通过告警列表上方提供的紧急程度是否已处理等组件筛选。

      例如,您可以将搜索条件是否已处理设置为已处理,状态设置为拦截成功,查看由云安全中心为您自动拦截的常见网络病毒。

    • 通过告警列表左侧的告警类型ATT&CK攻击阶段菜单筛选。

      ATT&CK攻击阶段展示了病毒攻击的不同阶段,您可以通过告警名称列的攻击阶段标记获取当前服务器受到病毒攻击的阶段,帮助您快速掌握资产的安全状态。

    查看告警详情

    单击告警名称或者在告警的操作列单击详情,打开告警的详情页面。在告警详情页面,您可以查看和处理告警的基础信息、受影响资产、事件说明等信息,以及对告警的异常事件进行处理。

    说明

    不同告警详情页面展示的信息不同,请以实际页面显示为准。

    • 查看受影响资产

      单击受影响资产名称,可跳转到对应资产的详情页面,方便您集中查看该资产的全部告警信息、漏洞信息、基线检查漏洞和资产指纹等信息。

    • 查看告警原因

      事件说明区域,查看告警出现的原因和处置建议,您可以单击处理,快速处理漏洞、基线检查风险项信息。

    告警攻击溯源

    云安全中心支持自动化攻击溯源,可对攻击事件进行自动化溯源并提供原始数据预览。攻击溯源功能结合多种云产品日志,通过大数据分析引擎对数据进行加工、聚合、可视化,形成攻击者入侵的链路图,帮助您在最短时间内定位入侵原因和制定应急策略。攻击溯源适用于云环境下的Web入侵、蠕虫事件、勒索病毒、主动连接恶意下载源等场景的应急响应与溯源。

    说明
    • 仅企业版和旗舰版支持该功能。

    • 云安全中心会在检测到威胁后10分钟,生成自动化攻击溯源的链路。建议您在告警发生10分钟后,再查看该告警相关的攻击溯源信息。

    • 安全告警触发后超过3个月,该告警的自动化攻击溯源信息将被自动清除。请您及时查看告警事件的攻击溯源信息。

    在告警列表中定位到需要进行告警攻击溯源的告警,在告警名称列单击溯源image.png图标,或者进入高级详情面板,单击溯源页签,进入溯源页面。

    在溯源可视图中,您可以查看攻击告警名称、告警类型、影响的资源、攻击源IP、HTTP请求详情和攻击请求的详细内容,以及该攻击溯源事件整个链路中各个节点的信息。单击各个节点,您可以查看该节点的相关信息。

    大模型分析说明

    云安全中心基于通义基础大模型,提供安全告警的大模型分析说明功能,支持在线为您分析及解释安全告警,帮助您更深入地了解资产的业务风险。

    说明

    目前,容器安全告警、异常登录和云产品威胁检测类告警暂不支持大模型分析功能。

    单击告警名称或者在告警的操作列单击详情,在告警详情页面,单击大模型分析说明页签。进入该页面后,阿里云安全智能机器人将自动为您分析告警内容。

    您可以在对话框中单击猜您想了解区域的问题,与阿里云安全智能机器人进行在线问答,进一步了解告警详情。

    image.png

    查看沙箱检测

    云安全中心提供了沙箱检测能力,通过在一个安全隔离的环境运行文件,分析静态和动态的文件行为数据,帮助您安全地运行可疑的应用程序,检测文件的可疑行为。当产生告警时,您可以通过沙箱检测结果辅助处置恶意程序。

    说明

    仅部分恶意软件告警支持沙箱检测功能,请以实际页面显示为准。

    1. 在安全告警列表,找到目标安全告警,在操作列单击详情

    2. 单击沙箱检测页签,或者在事件说明区域单击云沙箱检测

    3. 沙箱检测页签,查看检测结果。

      如果云沙箱的检测结果为空,表示云沙箱未检测到对应的文件。此时,您可以单击前往云沙箱,上传并检测该文件。

    ,前往沙箱检测页签查看检测结果。

    查看事件调查

    事件调查是入侵调查的工作平台,通过可视化调查黑客攻击过程,定位攻击源IP,分析入侵原因,助力您快速掌握入侵影响面,进行安全加固。

    您可以在告警列表中的告警名称列,单击事件调查图标图标跳转至事件调查页面。

    说明
    • 告警名称列标记已防御,表示病毒文件的恶意进程已被云安全中心实时拦截,当前已无法对您的业务造成危害,建议您尽快隔离相应病毒文件。

    • 告警名称列标记严格模式,表示服务器的告警检测模式为严格模式严格模式模式下,云安全中心会检测出更多的可疑行为告警,但会存在一定的误报风险。更多信息,请参见主机防护设置

处理安全告警

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择检测响应 > 安全告警处理

  3. 安全告警处理页面定位到目标告警,在操作列单击处理,选择告警的处理方式,然后单击立即处理

    说明
    • 不同类型告警支持的处理方式不同,请以控制台页面显示为准。

    • 您可以根据实际需要填写备注信息,备注可填写处置告警的原因和操作人,以方便您管理已处理告警。

    处理方式

    说明

    病毒查杀

    选择病毒查杀,您可以选择关闭该病毒的进程并隔离源文件,病毒样本被隔离后,将无法对业务产生危害。

    如果您确认该告警信息有效,可以手动选择以下选项进行处理:

    • 结束该进程的运行:直接结束该进程的运行。

    • 结束进程并隔离源文件:将病毒文件加入查看和恢复隔离文件,被隔离的文件将无法对服务器造成安全威胁。

      警告
      • 如果业务相关文件被加入了恶意代码片段,则该文件被隔离可能会影响业务正常运行。建议您在执行隔离操作前,确保被隔离文件对业务的影响是可控的。

      • 被成功隔离的文件在30天内可执行一键恢复,恢复的文件将重新回到安全告警列表中,由云安全中心继续对该文件进行监测。文件隔离30天后云安全中心会自动清除该文件。

    加白名单

    如果告警为误报,您可以将本次告警加入白名单,并设置加入白名单的规则。例如,在处理渗透工具利用行为的告警时,选择加白名单后,您设置了命令行包含aa的加白规则,则该告警状态将变为已处理,后续云安全中心不会再对命令行包含aa的渗透工具利用行为进行告警。您可以在已处理告警列表中定位到该事件对其进行取消白名单的操作。

    说明
    • 加白名单操作仅对当前告警和您设置的白名单规则进行加白。执行加入白名单操作后,针对您加入白名单的事件和设置的白名单规则,云安全中心都不会再产生对应的安全告警。云安全中心支持加入白名单的对象详情,请参见安全告警可以将哪些对象加入白名单

    • 告警误报是指系统对正常程序进行告警。常见的告警误报有对外异常TCP发包可疑进程,提示您服务器上有进程在对其他设备发起了疑似扫描行为。

    忽略

    选择忽略,该告警状态将更新为已忽略,当相同告警再次发生时,云安全中心将再次告警。

    说明

    如果您已确认一个或多个告警事件需要忽略或为误报,可在安全告警处理页面的告警事件列表中,选中一个或多个告警事件,单击列表下方的忽略本次加白名单进行处理。

    深度查杀

    深度查杀由云安全中心安全专家团队经过对该持久化、顽固型病毒进行深度分析、测试后,推出的专项查杀能力,该操作可能存在风险,您可以单击该功能下的查看详情,查看并确认待清除列表信息。该处理方式还提供创建快照功能,您还可以通过创建快照备份数据,以便深度查杀清除有用数据时,可以通过快照恢复被清除数据。

    隔离

    选择隔离,网站后门文件将被隔离到文件隔离箱,将无法对业务产生危害。

    警告
    • 如果业务相关文件被加入了恶意代码片段,则该文件被隔离可能会影响业务正常运行。建议您在执行隔离操作前,确保被隔离文件对业务的影响是可控的。

    • 被成功隔离的文件在30天内可执行一键恢复,恢复的文件将重新回到安全告警列表中,由云安全中心继续对该文件进行监测。文件隔离30天后云安全中心会自动清除该文件。

    阻断

    选择阻断,云安全中心将生成安全组防御规则,您需要配置规则有效期,拦截该恶意IP的访问。

    结束进程

    云安全中心将尝试结束该进程的运行。

    问题排查

    选择问题排查,云安全中心的客户端问题诊断程序将在本机采集与客户端相关的网络、进程、日志等数据上报云安全中心进行分析,检查期间会占用一定的CPU和内存。

    问题排查支持以下两种模式:

    • 常规模式

      常规模式将收集客户端相关日志数据上报至云安全中心进行分析。

    • 增强模式

      增强模式将采集与客户端相关的网络、进程、日志等数据上报云安全中心进行分析。

    我已手工处理

    您已处理了导致该告警事件的风险问题。

    同时处理相同告警

    对多个告警事件进行批量处理。批量处理告警事件前,请详细了解告警事件的信息。

    不再拦截此规则

    如果您无需拦截来自命中拦截规则的请求URI的请求,可以选择不再拦截此规则。选择不再拦截此规则后,系统将不拦截对应URI的请求,不再产生告警。

    仅防御不通知

    当再次发生相同告警时,告警事件将自动进入已处理列表中,不再进行告警通知,请谨慎操作。

    关闭触发告警的防御规则

    关闭恶意行为防护后,系统将停止该条自动化防御规则能力,请谨慎操作。

    告警事件处理完成后,告警事件的状态将从未处理变为已处理。

查看安全告警统计数据

云安全中心对您已开启的告警防御能力提供总览数据,帮助您快速了解安全告警概况、已开启和未开启的防御项目。您可以查看安全告警和已开启的防御项目的统计信息。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择检测响应 > 安全告警处理

  3. 安全告警处理页面上方,查看告警统计数据。

    统计项

    说明

    相关操作

    存在告警的服务器

    展示资产中存在告警的服务器数量。

    单击相应数值,跳转到主机资产页面,查看已检测出安全告警的服务器的详细信息。

    急需处理的告警

    展示资产中风险等级为紧急的待处理告警事件的数量。

    单击相应数值,自动为您筛选出对应的告警事件,方便您集中查看和处理风险等级为紧急的告警事件信息。

    说明

    建议您优先处理紧急状态的告警事件。

    待处理告警总数

    展示资产中未处理告警的总数量。

    安全告警处理页面,您可以查看默认展示的所有待处理告警信息。更多信息,请参见查看和处理安全告警

    精准防御

    展示资产中被恶意主机行为防御功能自动拦截的病毒告警的数量。

    单击相应数值,自动为您筛选出对应的告警事件,方便您集中查看被恶意主机行为防御功能自动拦截的所有病毒告警信息。

    说明

    病毒被自动拦截表示云安全中心已成功拦截该病毒,无需您手动进行处理。

    生效IP拦截策略/全部策略

    • 生效IP拦截策略:展示启用防暴力破解规则后拦截的记录数量。

    • 全部策略:展示云安全中心所有的防暴力破解规则拦截的记录数量。

    单击相应数值,自动展开IP规则策略库面板,方便您集中查看已启用或全部的IP拦截策略。IP拦截策略的更多信息,请参见防暴力破解

    已隔离文件数

    展示您对安全告警事件进行隔离处理后,隔离威胁文件的数量。

    单击相应数值,自动展开文件隔离箱面板,方便您集中查看被隔离的文件信息。病毒样本文件被隔离后,将无法对业务产生危害。更多信息,请参见查看和恢复隔离文件

处理挖矿告警视频演示

以下视频演示如何处理挖矿告警。

查看已归档的告警数据

在告警数据大于100条时,云安全中心会自动归档30天前已处理的告警数据,不会归档未处理的告警数据。已归档的数据将无法在云安全中心控制台查看。如需查看已归档的告警数据,您可以将归档数据下载到本地。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择检测响应 > 安全告警处理

  3. 安全告警处理页面右上角,单击归档数据

  4. 归档数据对话框,查看已归档的数据。

  5. 在已归档数据的下载链接列单击下载,将归档数据下载到本地。

    归档数据的文件格式为XLSX。归档数据下载时间依赖于网络带宽和文件大小,一般需要2~5分钟。

    下载完成后,您可以在归档数据文件中,查看历史告警的告警ID、告警名称、告警详情、告警等级、状态、影响资产、影响资产备注名称、影响概况和告警发生时间。

    说明

    告警状态为已经过期,说明在发生告警后的30天内,您未对该告警做任何处理。建议您及时对云安全中心检测到的安全告警事件进行处理。

查看和恢复隔离文件

云安全中心可对检测到的威胁文件进行隔离处理,被成功隔离的文件会添加到文件隔离箱中,云安全中心将在隔离30天后自动清除被隔离文件。如果您确定被隔离的文件无安全风险,您可以在文件被隔离后30天内,一键恢复被隔离的文件。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择检测响应 > 安全告警处理

  3. 安全告警处理页面右上角,单击文件隔离箱

  4. 文件隔离箱面板,查看被隔离的文件或恢复被隔离的文件。

    • 在文件隔离箱列表中可以查看被隔离文件所属的主机、路径、状态和修改时间信息。

    • 在待恢复文件的操作列单击恢复,可以将指定的被隔离文件从文件隔离箱中移除。恢复的文件将重新显示在安全告警列表。

  • 本页导读 (1)
文档反馈