Cara Menangani Peristiwa Keamanan dan Peringatan Keamanan - Security Center

Untuk menangani peristiwa keamanan, Anda harus terlebih dahulu mengevaluasi dampaknya dan permukaan serangan, mengidentifikasi positif palsu, serta melakukan perbaikan segera. Anda dapat menggunakan kebijakan penanganan yang direkomendasikan, memperbarui status peristiwa, menambahkan item ke daftar putih, atau menjalankan playbook untuk menjaga keamanan sistem Anda.

Penanganan insiden keamanan Bagan alir

Evaluasi peristiwa keamanan

Sebelum menangani peristiwa keamanan, evaluasi dampaknya, permukaan serangan, dan identifikasi positif palsu untuk menghindari gangguan pada operasi sistem normal. Gunakan halaman detail peristiwa untuk mendapatkan informasi yang membantu dalam evaluasi ini.

Pergi ke halaman detail peristiwa

Masuk ke Konsol Pusat Keamanan. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: China atau Outside China.
Di panel navigasi di sebelah kiri, pilih Detection and Response > Security Incident.
Catatan
Jika Anda membeli layanan Cloud Threat Detection and Response (CTDR), di panel navigasi di sebelah kiri, pilih Cloud Threat Detection and Response > Security Incident.
Pilih Occurrence Time Range untuk menemukan peristiwa keamanan.
Penting
- Halaman Security Incident hanya menampilkan peristiwa dari 180 hari terakhir.
- Anda dapat mengaktifkan notifikasi peristiwa di System Settings > Notification Settings. Ini memungkinkan Anda menggunakan informasi dari notifikasi tersebut, seperti nama peristiwa, untuk dengan cepat menemukan peristiwa.
Di kolom Tindakan, klik Details untuk masuk ke halaman detail peristiwa.

Metode dan contoh untuk mengevaluasi peristiwa keamanan

Evaluasi urgensi peristiwa, cakupannya, dan apakah itu positif palsu menggunakan dan informasi pada tab Overview, Timeline, Alert, dan Entity.

Overview area

Area ini menyediakan informasi dasar tentang peristiwa dan tahap serangan ATT&CK-nya. Anda dapat menggunakan data di area ini, seperti jumlah aset terdampak, peringatan terkait, waktu kejadian, dan sumber peringatan, untuk mengevaluasi apakah peristiwa keamanan memerlukan penanganan.

Contoh Evaluasi:

Jumlah Aset Terdampak: Jika banyak aset terdampak, termasuk aset bisnis inti seperti server database atau server aplikasi, peristiwa tersebut mungkin memiliki dampak signifikan dan harus ditangani dengan prioritas tinggi.
Jumlah Peringatan Terkait: Jumlah peringatan terkait yang lebih tinggi menunjukkan bahwa peristiwa tersebut mungkin memiliki cakupan lebih luas dan risiko potensial yang lebih besar.
Waktu Kejadian: Peristiwa baru perlu ditangani lebih cepat daripada peristiwa historis karena mereka mungkin masih menyebabkan dampak.
Sumber Peringatan: Kredibilitas dan tingkat keparahan peringatan dapat bervariasi menurut sumber. Peringatan dari modul deteksi otoritatif, seperti modul pemindaian virus khusus, menunjukkan risiko lebih tinggi untuk peristiwa terkait.

Timeline

Di tab ini, Anda dapat melihat garis waktu serangan dan diagram rantai peristiwa. Mesin analitik data besar memproses, menggabungkan, dan memvisualisasikan data untuk membentuk diagram rantai peristiwa. Diagram ini membantu Anda dengan cepat mengidentifikasi penyebab peristiwa dan membuat kebijakan penanganan. Untuk melihat detailnya, lakukan langkah-langkah berikut:

Klik ikon untuk masuk ke mode layar penuh.
Klik node di diagram rantai peristiwa untuk melihat detailnya.

Gunakan garis waktu untuk mengevaluasi apakah peristiwa keamanan memerlukan penanganan. Berikut adalah contoh evaluasi:

Jika garis waktu menunjukkan bahwa peringatan serangan probing skala kecil awal dengan cepat berkembang menjadi beberapa peringatan serangan terkait yang berbeda jenis, peristiwa keamanan tersebut berisiko tinggi dan harus segera ditangani. Ini terutama benar jika kecepatan serangan meningkat dan cakupan aset terdampak meluas.
Jika tidak ada peringatan terkait baru yang muncul di garis waktu untuk periode panjang dan perilaku serangan tidak menunjukkan tanda-tanda penyebaran lebih lanjut, prioritas penanganan dapat relatif lebih rendah.

Alert

Di tab ini, Anda dapat melihat daftar semua peringatan keamanan yang digabungkan ke dalam peristiwa ini. Anda dapat menggunakan statistik peringatan multi-dimensi, termasuk jumlah peringatan, tindakan pertahanan, dan waktu kejadian, untuk mendapatkan lebih banyak informasi. Ini membantu Anda menentukan metode serangan, tahap serangan, dan rencana penanganan yang sesuai. Berikut adalah contoh evaluasi:

Banyak peringatan dengan jenis yang sama atau terkait mungkin menunjukkan serangan skala besar atau ancaman yang lebih parah.
Mengenai tindakan pertahanan, tentukan apakah tindakan yang diambil telah secara efektif memblokir serangan. Jika tindakan pertahanan gagal atau tidak cukup, urgensi penanganan peristiwa meningkat.
Jika peringatan keamanan baru-baru ini memiliki Waktu Kejadian terkonsentrasi pada periode tertentu, ini mungkin menunjukkan bahwa serangan sedang berada dalam fase aktif selama waktu itu.

Entity

Bagian ini menampilkan entitas yang diekstraksi dari peristiwa. Jenis entitas yang didukung termasuk host, file, proses, alamat IP, dan akun host. Anda dapat melihat dan mengelola entitas dari dimensi berikut:

Semua entitas: Menampilkan semua entitas yang diekstraksi dari peristiwa. Anda dapat melihat jumlah peristiwa terkait, peringatan terkait, dan tugas penanganan terkait dalam 30 hari terakhir, serta melakukan operasi seperti menjalankan playbook.
Aset Terdampak: Menampilkan aset yang terdampak oleh peristiwa. Ini membantu Anda dengan cepat mengevaluasi ruang lingkup dampak pada aset Anda.

Gunakan entitas terdampak untuk mengevaluasi apakah peristiwa keamanan memerlukan penanganan. Berikut adalah contoh evaluasi:

Di detail entitas, Anda dapat melihat informasi dasar entitas alamat IP, intelijen ancaman Alibaba Cloud-nya, dan jumlah peristiwa terkait, peringatan, dan tugas penanganan dalam 30 hari terakhir. Jika angka-angka ini tinggi, ini mungkin menunjukkan bahwa penyerang terus menggunakan alamat IP tersebut untuk serangan. Anda harus menangani alamat IP ini, misalnya dengan memblokirnya.
Di tab Affected Asset, jika beberapa aset diserang oleh alamat IP yang sama dalam periode yang sama, ini mungkin menunjukkan serangan bertarget dari alamat IP tersebut. Anda harus menangani alamat IP ini, misalnya dengan memblokirnya.

Response Activity

Bagian Aktivitas Tanggapan memberikan catatan lengkap proses investigasi peristiwa, analisis risiko, dan penanganan tanggapan. Bagian ini juga menyediakan titik masuk untuk mengelola kebijakan dan tugas penanganan utama. Ini memungkinkan anggota tim berbagi kemajuan investigasi dan informasi penanganan selama kolaborasi. Setelah peristiwa berakhir, Anda dapat meninjau dan merangkum aktivitas peristiwa untuk meningkatkan respons di masa depan.

Tangani peristiwa keamanan

Menangani peristiwa keamanan melibatkan penanganan entitas jahat dan peringatan terkaitnya. Setelah Anda menangani entitas dan peringatan, Anda harus memperbarui status peristiwa.

Use Recommended Handling Policy (Direkomendasikan)

Pusat Keamanan menyediakan metode penanganan peristiwa berdasarkan pengalaman para ahli keamanan Alibaba Cloud. Metode ini disebut kebijakan penanganan yang direkomendasikan. Setelah Anda menggunakan kebijakan penanganan yang direkomendasikan untuk menangani entitas jahat dalam peristiwa keamanan, status peristiwa dan status peringatan terkaitnya diperbarui secara bersamaan.

Catatan

Tidak semua entitas mendukung Use Recommended Handling Policy. Jika panel Use Recommended Handling Policy kosong, ini menunjukkan bahwa tidak ada kebijakan penanganan bawaan untuk entitas saat ini.

Dampak dari Operasi Ini

Operasi ini berinteraksi dengan produk Alibaba Cloud lainnya untuk respons peristiwa guna menangani entitas jahat, misalnya dengan memblokir alamat IP.
Jika Anda menggunakan opsi Use Recommended Handling Policy untuk mengubah status peristiwa menjadi Handled, sistem mengubah status semua peringatan terkait yang belum ditangani menjadi Handled in the security incident. Informasi penanganan peristiwa juga ditambahkan ke detail peringatan. Selanjutnya, peringatan baru tidak lagi terkait dengan peristiwa keamanan saat ini. Sebagai gantinya, mereka menghasilkan peristiwa keamanan baru.
Penting
Untuk peringatan "Pertahanan Presisi" Platform Perlindungan Beban Kerja Cloud (CWPP), status defaultnya adalah "Ditangani" (hanya bertahan, tanpa notifikasi). Memperbarui status peristiwa keamanan tidak memengaruhi status peringatan ini.
Jika Anda menggunakan opsi Use Recommended Handling Policy untuk mengubah status peristiwa menjadi Handling, status peringatan terkait saat ini tidak terpengaruh. Anda masih dapat mengaitkan peringatan baru dengan peristiwa tersebut.

Prosedur

Pergi ke halaman detail peristiwa. Di tab Entity, klik Use Recommended Handling Policy.
Catatan
Di halaman Security Incident, temukan peristiwa. Di kolom Actions, klik Response, atau pilih Use Recommended Handling Policy.
Di panel Use Recommended Handling Policy, pilih entitas jahat yang ingin Anda tangani.
(Opsional) Modifikasi kebijakan penanganan. Di kolom Tindakan untuk entitas, klik Edit. Di panel Edit Policy, modifikasi parameter seperti akun tujuan dan periode validitas aturan pemblokiran.
- Periode Validitas Tindakan: Periode selama kebijakan penanganan berlaku. Kebijakan otomatis menjadi tidak valid setelah periode ini berakhir.
- Akun Tujuan: Akun saat ini dan akun anggota yang dapat dikelola. Untuk informasi lebih lanjut tentang cara mengelola akun anggota, lihat Manajemen Keamanan Multi-Akun.
Klik Confirm and update the incident status.. Di kotak dialog Update Incident Status, atur Event Status menjadi Handling atau Handled, lalu klik OK.
Penting
Setelah Anda menyelesaikan langkah ini, Pusat Keamanan secara otomatis membuat kebijakan penanganan dan mengeksekusi tugas penanganan. Jika tugas penanganan gagal, status peristiwa berubah menjadi Failed. Jika tidak, status peristiwa berubah menjadi status yang Anda atur di sini.
- Handling: Menunjukkan bahwa selain operasi penanganan saat ini, ada tindakan lain terkait penanganan peristiwa, seperti perbaikan segera, pelacakan sumber, dan perbaikan kerentanan.
- Handled: Menunjukkan bahwa tidak ada tindakan penanganan lanjutan selain yang saat ini. Dampaknya adalah sebagai berikut:
  - Memperbarui status peringatan terkait menjadi Handled in the security incident.
  - Peringatan berikutnya akan menghasilkan peristiwa keamanan baru dan tidak lagi terkait dengan peristiwa saat ini.

Perbarui status peristiwa keamanan

Jika Anda menentukan bahwa peristiwa adalah positif palsu atau jika Anda telah menangani secara manual semua peringatan keamanan dan entitas terkait, Anda dapat mengubah status peristiwa menjadi Handled.

Dampak dari Operasi Ini

Status semua peringatan terkait yang belum ditangani diperbarui menjadi Handled in the security incident. Informasi penanganan peristiwa ditambahkan ke detail peringatan.
Penting
Untuk peringatan "Pertahanan Presisi" Platform Perlindungan Beban Kerja Cloud (CWPP), status defaultnya adalah "Ditangani" (hanya bertahan, tanpa notifikasi). Memperbarui status peristiwa keamanan tidak memengaruhi status peringatan ini.
Peringatan berikutnya tidak lagi terkait dengan peristiwa keamanan saat ini. Mereka akan menghasilkan peristiwa keamanan baru.

Prosedur

Di halaman detail peristiwa, Anda dapat mengklik daftar drop-down Incident Response di pojok kanan atas dan pilih Update Incident Status. Sebagai alternatif, di halaman Peristiwa Keamanan, Anda dapat menemukan peristiwa target, klik daftar drop-down Response di kolom Tindakan, dan pilih Update Incident Status.
Di kotak dialog Update Incident Status, pilih Handled.
(Opsional) Tambahkan catatan. Anda dapat menambahkan catatan seperti 'Saya telah menangani ini secara manual', 'Abaikan', atau 'Dimasukkan ke Daftar Putih Secara Manual'.

Tambahkan ke daftar putih (pemutihan peringatan)

Jika Pusat Keamanan menghasilkan peringatan untuk aktivitas program normal, Anda dapat menambahkan peringatan tersebut ke daftar putih. Ini mencegah Pusat Keamanan menghasilkan peringatan berulang untuk program atau perilaku normal. Contoh aktivitas normal yang mungkin memicu peringatan termasuk paket TCP keluar mencurigakan dari proses bisnis normal atau perilaku pemindaian dari alat deteksi jaringan normal.

Dampak Daftar Putih Peringatan

Peringatan

Setelah peringatan dimasukkan ke daftar putih, notifikasi untuk peringatan yang sama atau cocok tidak akan dikirim lagi. Gunakan fitur ini dengan hati-hati.

Untuk Peringatan Saat Ini:
- Peringatan saat ini berubah menjadi "Ditangani", dan status peringatan adalah Manually Add to Whitelist.
- Jika peringatan yang sama terjadi lagi, peringatan baru tidak akan dihasilkan. Sebagai gantinya, waktu kejadian terbaru dari peringatan saat ini akan diperbarui.
  Apa yang dimaksud dengan peringatan serupa?
  Peringatan yang sama merujuk pada ancaman keamanan dengan fitur peringatan yang sangat konsisten. Contohnya:
  - Peringatan terkait virus: Aset yang sama, jalur file virus, dan MD5 file virus.
  - Logon Abnormal: Aset yang sama dan alamat IP logon.
Untuk Peringatan Berikutnya:
- Jika Anda menetapkan aturan daftar putih tertentu, Pusat Keamanan tidak lagi mengaitkan peringatan yang sesuai dengan aturan ini dengan peristiwa saat ini.
- Ketika peringatan yang sesuai dengan aturan daftar putih kustom terjadi lagi, itu akan otomatis ditambahkan ke daftar yang telah ditangani dengan status Automatically Add to Whitelist, dan tidak ada notifikasi peringatan yang akan dikirim.
Untuk Peringatan Lainnya: Aturan daftar putih hanya berlaku untuk peringatan dengan nama peringatan tertentu yang memenuhi kondisi. Itu tidak memengaruhi peringatan lainnya yang tidak memiliki aturan yang ditetapkan.

Prosedur

Pergi ke halaman detail peristiwa. Di tab Peringatan Keamanan, pilih peringatan untuk dimasukkan ke daftar putih dan klik Add Alert to Whitelist di kolom Tindakan.
(Opsional) Buat aturan daftar putih peringatan baru. Anda dapat mengklik Create Rule untuk mengonfigurasi beberapa aturan daftar putih.
Penting
- Beberapa aturan memiliki hubungan "DAN", yang berarti aturan hanya berlaku ketika semua kondisi terpenuhi.
- Pastikan presisi aturan yang Anda konfigurasikan untuk menghindari ruang lingkup yang terlalu luas. Misalnya, menyetel "Jalur berisi: /data/" mungkin secara tidak sengaja memasukkan subdirektori sensitif lainnya, yang meningkatkan risiko keamanan.
- Kami merekomendasikan Anda menggabungkan beberapa kondisi untuk menetapkan aturan, seperti "Jalur berisi: /app/" dan "Nama Proses: test.exe", untuk mencapai manajemen daftar putih yang lebih rinci.
Setiap aturan memiliki empat kotak konfigurasi dari kiri ke kanan, yang dijelaskan di bawah ini:
1. Bidang Informasi Peringatan: Di halaman detail, di bawah More Information, Anda dapat melihat bidang informasi peringatan mana yang didukung untuk peringatan saat ini.
2. Jenis Kondisi: Mendukung operasi seperti pencocokan ekspresi reguler, lebih besar dari, sama dengan, kurang dari, dan berisi. Beberapa aturan dijelaskan sebagai berikut:
  - Ekspresi Reguler: Gunakan ekspresi reguler untuk mencocokkan konten dengan pola tertentu secara tepat. Misalnya, untuk memasukkan semua konten di bawah folder "/data/app/logs/" ke daftar putih, Anda dapat menetapkan aturan "Jalur cocok regex: ^/data/app/logs/.*$". Ini akan mencocokkan semua file atau proses di folder itu dan subdirektorinya.
  - Mengandung Kata Kunci: Tetapkan aturan "Jalur berisi: D:\programs\test\". Semua peristiwa yang jalurnya mengandung folder ini akan dimasukkan ke daftar putih.
3. Nilai Kondisi: Mendukung konstanta dan ekspresi reguler.
4. Aset yang Berlaku:
  - Semua Aset: Berlaku untuk aset yang baru ditambahkan dan semua aset yang ada.
  - Hanya untuk Aset Saat Ini: Hanya berlaku untuk aset yang terlibat dalam peringatan saat ini.
Klik OK.

Bagaimana Cara Menghapus Item dari Daftar Putih?

Batalkan Aturan Daftar Putih Otomatis

Penting

Ini hanya memengaruhi peringatan yang dihasilkan setelahnya. Peringatan yang sesuai dengan aturan daftar putih tidak lagi dimasukkan ke daftar putih secara otomatis.
Ini tidak berpengaruh pada peringatan yang sudah ditangani. Status peringatan tetap tidak berubah.

Masuk ke . Di panel navigasi di sebelah kiri, pilih Detection and Response > Alert.
Catatan
Jika Anda telah membeli CTDR, di panel navigasi di sebelah kiri, pilih Cloud Threat Detection and Response > Alert.
Di pojok kanan atas tab CWPP, klik Cloud Workload Alert Management dan pilih Alert Settings.
Di halaman Alert Settings, di bagian Alert Handling Rule, atur Metode Penanganan menjadi Automatically Add to Whitelist.
Temukan aturan target dan klik Hapus di kolom Tindakan untuk membatalkan aturan daftar putih otomatis.

Batalkan Pemutihan untuk Peringatan

Penting

Setelah Anda membatalkan pemutihan, peringatan muncul kembali di daftar peringatan Unhandled. Anda harus mengevaluasi ulang dan menangani peringatan tersebut.

Masuk ke . Di panel navigasi di sebelah kiri, pilih Detection and Response > Alert.
Catatan
Jika Anda telah membeli CTDR, di panel navigasi di sebelah kiri, pilih Cloud Threat Detection and Response > Alert.
Di tab CWPP, atur filter Handled or Not menjadi Handled.
Temukan data peringatan yang ingin Anda hapus dari daftar putih dan klik tombol Remove from Whitelist di kolom Tindakan untuk membatalkan pemutihan untuk peringatan saat ini.
Catatan
Anda juga dapat memilih beberapa item data peringatan dan klik tombol Remove from Whitelist di bagian bawah daftar untuk melakukan pembatalan massal.

Run Playbook

Berdasarkan pengalaman para ahli keamanan Alibaba Cloud, Pusat Keamanan menyediakan serangkaian playbook bawaan untuk menangani entitas jahat. Contohnya termasuk investigasi offline host, pemindaian virus mendalam, dan interaksi dengan WAF untuk memblokir alamat IP.

Pergi ke halaman detail peristiwa. Di tab Entity, temukan entitas yang perlu diproses.
Di kolom Tindakan, klik Run Playbook. Di halaman konfigurasi menjalankan playbook, konfigurasikan parameter playbook seperti yang dijelaskan di bawah ini.
- Playbook: Sistem secara otomatis mengambil playbook bawaan yang sesuai berdasarkan jenis entitas saat ini.
  Penting
  Jika playbook bawaan tidak memenuhi kebutuhan Anda, Anda dapat menggunakan fitur Orkestrasi Tanggapan yang disediakan oleh Threat Analysis and Response untuk membuat playbook kustom.
- Periode Validitas Tindakan: Periode selama playbook berjalan. Playbook tidak akan dieksekusi lagi setelah periode ini berakhir.
- Akun Tujuan: Akun saat ini dan akun anggota yang dapat dikelola. Untuk informasi lebih lanjut tentang cara mengelola akun anggota, lihat Manajemen Keamanan Multi-Akun.
Klik OK.

Solusi pengamanan keamanan

Tingkatkan Security Center
Edisi Enterprise dan Ultimate mendukung isolasi virus otomatis untuk memberikan pertahanan yang akurat. Edisi-edisi ini mendukung pertahanan terhadap ransomware umum, Trojan DDoS, program penambangan, trojan, program jahat, backdoor, dan cacing. Mereka juga mendukung lebih banyak item pemeriksaan keamanan.
Konfigurasikan Grup Keamanan untuk Server
Berikut adalah konfigurasi grup keamanan yang umum. Jika Anda menggunakan instance ECS Alibaba Cloud, lihat Kelola Grup Keamanan.
- Izinkan hanya alamat IP tertentu untuk masuk ke server Anda menggunakan Protokol Desktop Jarak Jauh (RDP) pada port 3389 atau SSH pada port 22. Ini mencegah peretas memindai atau meluncurkan serangan brute-force pada port manajemen server Anda.
- Di grup keamanan, izinkan akses hanya ke port layanan yang diperlukan, seperti 80 dan 443. Jangan izinkan akses ke port lain.
- Untuk port database, seperti 1433, 3306, dan 6379, izinkan akses hanya dari alamat IP tertentu. Kami merekomendasikan agar Anda tidak mengekspos port-port ini ke internet.
Tetapkan Kata Sandi Server yang Kompleks
Buat kata sandi kompleks yang mengandung huruf besar, huruf kecil, angka, dan karakter khusus. Kata sandi harus memiliki panjang minimal delapan karakter.
Perbarui Perangkat Lunak
Secara teratur tingkatkan aplikasi ke versi terbaru. Jangan gunakan perangkat lunak yang sudah usang.
Buat Snapshot Disk
Buat snapshot secara berkala untuk server penting. Jika data hilang, terhapus secara tidak sengaja, atau dirusak oleh peretas dalam serangan seperti ransomware, Anda dapat menggunakan snapshot untuk memulihkan data. Jika Anda menggunakan instance ECS Alibaba Cloud, lihat Buat kebijakan snapshot otomatis.
Perbaiki Kerentanan dengan Segera
Gunakan fitur perbaikan kerentanan dari Pusat Keamanan untuk segera memperbaiki kerentanan sistem dan aplikasi yang berisiko tinggi. Catatan: Sebelum Anda memperbaiki kerentanan, buat cadangan snapshot.
Reset Sistem Server (gunakan dengan hati-hati).
Jika virus menginfeksi sistem secara mendalam dan terkait dengan komponen sistem dasar, kami sangat menyarankan Anda untuk mencadangkan data penting dan kemudian mereset sistem server. Ikuti langkah-langkah berikut:
1. Buat snapshot untuk mencadangkan data penting di server. Untuk informasi lebih lanjut, lihat Buat Snapshot.
2. Inisialisasi ulang sistem operasi server. Untuk informasi lebih lanjut, lihat Inisialisasi Ulang Disk Sistem.
3. Buat disk dari snapshot. Untuk informasi lebih lanjut, lihat Buat Disk Data dari Snapshot.
4. Pasang disk ke server tempat sistem operasi diinstal ulang. Untuk informasi lebih lanjut, lihat Pasang Disk Data.

Operasi lainnya

Ekspor detail peristiwa keamanan

Anda dapat mengekspor detail peristiwa keamanan ke file Excel lokal. Ini memfasilitasi kolaborasi lintas departemen dalam menangani peristiwa keamanan dan meningkatkan efisiensi berbagi informasi internal serta pelacakan peristiwa.

Anda dapat mengekspor hingga 1.000 catatan peristiwa keamanan. File yang diekspor berisi tiga tab: daftar catatan peristiwa keamanan, daftar aset yang terlibat dalam peristiwa keamanan, dan daftar entitas yang terlibat dalam peristiwa keamanan.

(Opsional) Di halaman Insiden Keamanan, atur kondisi filter seperti tingkat risiko peristiwa, status, dan waktu kejadian.
Pilih peristiwa keamanan yang ingin Anda unduh dan klik ikon di pojok kanan atas daftar peristiwa keamanan.
Setelah file diekspor, klik Download untuk menyimpan file ke mesin lokal Anda.

Referensi

Untuk informasi lebih lanjut tentang peringatan keamanan, lihat Ikhtisar Peringatan Keamanan CWPP (Cloud Workload Protection Platform) dan Analisis dan Penanganan Peringatan Keamanan.
Untuk konsep dasar peristiwa keamanan, lihat Ikhtisar Peristiwa Keamanan CWPP (Cloud Workload Protection Platform) dan Ikhtisar Peristiwa Keamanan CTDR.
Untuk proses penanganan program penambangan umum, lihat Praktik Terbaik untuk Menangani Program Penambangan.