Security Center menghasilkan peringatan keamanan saat mendeteksi intrusi aset, malware, atau perilaku tidak normal. Menanggapi peringatan ini secara cepat dan efektif sangat penting untuk menjaga kelangsungan layanan dan keamanan data. Topik ini menjelaskan cara menggunakan proses tanggapan insiden guna segera mengevaluasi risiko, mengatasi ancaman, dan memperkuat sistem Anda.
Nilai peringatan keamanan
Sebelum menanggapi insiden keamanan, Anda harus menilai peringatan tersebut untuk memahami dampak potensialnya, menganalisis serangan, serta mengidentifikasi false positive guna menghindari gangguan pada operasi sistem yang normal. Halaman detail setiap peringatan keamanan menyediakan informasi yang diperlukan untuk penilaian ini.
Lihat detail peringatan
Masuk ke Security Center console.
Di panel navigasi kiri, pilih . Di pojok kiri atas konsol, pilih wilayah aset Anda: Chinese Mainland atau Outside Chinese Mainland.
CatatanJika Anda telah mengaktifkan Agentic SOC, jalur navigasi di panel kiri berubah menjadi .
Pada tab CWPP, temukan peringatan tersebut dan klik Details di kolom Actions.
PentingAnda dapat mengaktifkan notifikasi peringatan di halaman . Anda kemudian dapat menggunakan informasi dari notifikasi tersebut, seperti nama peringatan, untuk segera menemukan peringatan tersebut.
Edisi Ultimate memungkinkan Anda memfilter peringatan berdasarkan jenis aset. Di atas daftar peringatan, klik All, host, container, K8s, atau cloud service untuk melihat peringatan sesuai jenis aset yang bersangkutan.
Security Center menggunakan mesin deteksi berbasis large model terbaru untuk mengidentifikasi file berbahaya secara cerdas. Untuk melihat peringatan yang dideteksi oleh AI, atur filter AI Detected ke Yes. Untuk informasi lebih lanjut, lihat Lihat peringatan untuk file berbahaya yang dideteksi AI.
Analisis detail peringatan
Anda dapat menggunakan fitur-fitur seperti pelacakan serangan (attack tracing), dan Description untuk memahami dasar peringatan, frekuensi, dan penyebab potensialnya. Informasi ini membantu Anda menentukan apakah peringatan tersebut merupakan false positive dan merancang rencana respons.
Deskripsi peringatan
Deskripsi peringatan menyoroti aktivitas tidak normal yang terdeteksi, menjelaskan risiko potensial, menggambarkan karakteristik aktivitas dan ancaman terkait, serta merekomendasikan tindakan respons.
Contoh penilaian:
Seperti ditunjukkan pada gambar di atas:
Risiko potensial: File konfigurasi terkait dimodifikasi untuk membuat backdoor login.
Respons yang direkomendasikan: Konfirmasi dengan tim bisnis terkait apakah proses ini normal. Jika tidak, segera hentikan proses tersebut. Kemudian, lakukan investigasi terhadap sistem untuk mencari ancaman potensial lainnya.
Attack tracing
Security Center menyediakan fitur pelacakan serangan otomatis. Fitur ini mengintegrasikan log dari berbagai layanan cloud, menggunakan analitik big data untuk menghasilkan jalur serangan yang divisualisasikan, serta mendukung pratinjau log mentah. Fitur ini membantu Anda segera mengidentifikasi akar penyebab intrusi dan menyusun strategi tanggapan insiden.
Fitur ini hanya tersedia pada server yang menjalankan edisi Enterprise atau Ultimate Security Center, atau yang telah mengaktifkan fitur Host Protection atau Hosts and Container Protection.
Security Center menghasilkan jalur serangan dalam waktu 10 menit setelah ancaman terdeteksi. Disarankan agar Anda menunggu minimal 10 menit setelah peringatan dihasilkan sebelum melihat informasi pelacakan serangan.
Informasi pelacakan serangan otomatis untuk suatu peringatan akan dihapus secara otomatis 3 bulan setelah peringatan tersebut dihasilkan. Tinjau informasi pelacakan serangan tersebut segera.
Kasus Penggunaan:
Pelacakan serangan sangat ideal untuk tanggapan dan pelacakan insiden dalam skenario seperti intrusi web, event worm, ransomware, dan koneksi aktif ke sumber unduhan berbahaya di lingkungan cloud.
Contoh penilaian:
Di bagian traceability pada halaman detail, periksa apakah rantai serangan lengkap dan valid. Semakin lengkap rantai serangan, semakin mendesak Anda perlu menangani peringatan tersebut.
Klik sebuah node pada graf dan periksa detailnya di sebelah kiri untuk menentukan apakah tujuan serangan tercapai. Misalnya:
Periksa aktivitas endpoint: Penyerang mengeksekusi perintah di server, seperti
whoamiataunet user.Periksa eksfiltrasi data: Cari koneksi keluar yang tidak normal (ke mining pool atau server C2) atau aktivitas pembacaan/pengunggahan file sensitif.
Periksa artefak persistensi: Cari akun backdoor baru, tugas terjadwal, atau layanan berbahaya.
Klik sebuah node pada graf pelacakan dan, di bagian detail node di sebelah kiri, lihat apakah log mentah dapat diverifikasi (misalnya, catatan intersepsi WAF, log pembuatan proses host, atau log koneksi jaringan).
Dapat diverifikasi: Terdapat log pendukung di tingkat bawah, seperti catatan intersepsi WAF atau log proses host untuk eksekusi perintah berbahaya. Ini membuktikan bahwa serangan benar-benar terjadi. Jika serangan berhasil dicegat, Anda dapat menandai peringatan sebagai "Diproses" dan tidak perlu tindakan lebih lanjut. Jika tidak dicegat, Anda harus segera merespons.
Tidak dapat diverifikasi: Tidak tersedia log pendukung. Hal ini bisa disebabkan oleh penghapusan log atau teknik penghindaran deteksi. Dalam skenario ini, Anda harus sangat waspada karena mungkin mengindikasikan serangan tingkat lanjut.
Sandbox detection
Security Center menyediakan fitur deteksi sandbox. Fitur ini menganalisis perilaku file secara statis dan dinamis dengan menjalankan file dalam lingkungan terisolasi yang aman. Hal ini membantu Anda menjalankan aplikasi mencurigakan secara aman dan mendeteksi perilaku berbahaya. Saat peringatan dihasilkan, Anda dapat menggunakan hasil deteksi sandbox untuk membantu mengatasi program berbahaya tersebut.
Fitur deteksi sandbox hanya tersedia untuk beberapa peringatan malware. Ketersediaannya ditunjukkan pada halaman detail peringatan.
Di daftar peringatan keamanan, temukan peringatan target dan klik Details di kolom Actions.
Di bagian Sandbox, lihat hasil deteksi sandbox.
Contoh penilaian:
Behavior Tag: Tag ini memberi label karakteristik file dan menyoroti operasi berisiko tinggi. Tag merah menunjukkan perilaku intrusif paling kritis.
ATT&CK Matrix: Menampilkan alur proses selama eksekusi deteksi sandbox dan menyoroti operasi berisiko tinggi yang dilakukan file. Sorotan merah menunjukkan perilaku intrusif paling kritis.
Penanganan peringatan keamanan
Jika Anda menentukan bahwa peringatan tersebut merupakan aktivitas sah atau tidak memerlukan tindakan, Anda dapat Ignore peringatan tersebut atau Add to Whitelist.
Untuk ancaman virus persisten atau peringatan keamanan berulang, tangani peringatan tersebut di konsol lalu lakukan penguatan keamanan. Untuk informasi lebih lanjut, lihat Penguatan Keamanan dan Pencegahan Serangan.
Jenis | Parameter | Aksi |
malware | mining program | |
DDoS trojan | ||
trojan program | ||
malicious program | ||
exploit program | ||
suspicious PowerShell command | ||
backdoor program | ||
reverse shell backdoor | ||
file-infecting virus | ||
unusual logon | logon from a malicious IP address | |
successful brute-force cracking on ECS | ||
logon to ECS with an unusual account | ||
logon to ECS from an unusual location | ||
logon with a backdoor account | ||
website backdoor | backdoor (webshell) file detected | |
log/image file containing webshell code | ||
backdoor file for web trojan or hotlinking detected | ||
arbitrary file write backdoor detected | ||
abnormal process behavior | Java application executes abnormal commands | |
suspicious process path | ||
network proxy forwarding behavior | ||
suspicious PowerShell command | ||
persistent backdoor creation behavior | ||
SSH backdoor | ||
suspicious encoded command | ||
suspicious command execution | ||
malicious script | malicious script execution | |
precision defense | evasion of security software | |
cloud product threat detection | RAM sub-account logon from an unusual location |
|
hacking tool exploits AccessKey |
| |
abnormal role permission enumeration |
| |
RAM user performs sensitive operations after logging on to the console | ||
other | Security Center agent unexpectedly goes offline |
Tangani peringatan secara manual
Jika Anda menggunakan fitur Security Event Response untuk menangani event yang diagregasi dari peringatan Security Center, Security Center akan secara otomatis memperbarui status peringatan terkait di tab CWPP. Anda tidak perlu memperbarui status peringatan secara manual.
Prosedur
Masuk ke Security Center console.
Di panel navigasi kiri, pilih . Di pojok kiri atas konsol, pilih wilayah aset: Chinese Mainland atau Outside Chinese Mainland.
CatatanJika Anda telah mengaktifkan Agentic SOC, jalur navigasi di panel kiri berubah menjadi .
Di halaman Alert, pada tab CWPP, temukan peringatan target. Di kolom Actions, klik Handle. Pilih metode penanganan dan klik Handle Now.
CatatanMetode penanganan bervariasi tergantung jenis peringatan. Opsi yang tersedia di konsol bersifat definitif.
Anda dapat menambahkan keterangan untuk menentukan alasan penanganan dan operator. Praktik ini meningkatkan keterlacakan peringatan yang telah ditangani.
Metode penanganan
Metode penanganan dikategorikan sebagai berikut:
Threat Removal: Menghapus dan memblokir ancaman keamanan yang diketahui, mengatasi infeksi, mencegah serangan baru, serta memblokir sumber ancaman untuk melindungi aset Anda.
Alert Suppression: Menangani false positive dan risiko yang diketahui atau dapat diterima. Anda dapat menandai peringatan sebagai tidak valid atau tidak memerlukan tindakan dengan memasukkannya ke daftar putih atau mengabaikannya. Anda juga dapat mengontrol apakah akan menerima notifikasi untuk peringatan serupa berikutnya.
Troubleshooting: Memecahkan masalah dan mendiagnosis isu terkait agen Security Center.
Threat removal
Kasus penggunaan
Aktivitas berbahaya yang dikonfirmasi: Gunakan metode ini ketika Security Center mendeteksi proses berbahaya yang sedang berjalan, seperti virus, trojan, atau ransomware, dan Anda perlu segera menghentikannya agar tidak merusak sistem.
Tanggapan insiden: Gunakan metode ini ketika Anda perlu segera menghentikan penyebaran virus atau kebocoran data untuk mencegah ancaman menyebar ke instans lain.
Sebelum memulai
Virus Scan dapat menyebabkan gangguan layanan. Untuk menghindari gangguan bisnis, periksa file sumber terlebih dahulu sebelum melanjutkan. Poin pemeriksaan utama meliputi:
Verifikasi properti file: Pastikan file tersebut adalah virus dengan memeriksa path, signature, dan nilai hash-nya. Hal ini membantu mencegah penghapusan tidak sengaja terhadap file sistem atau bisnis.
Nilai ketergantungan bisnis: Periksa apakah file tersebut digunakan oleh layanan kritis, seperti komponen terkait
nginxataumysql.
Cara kerja
Segera menghentikan proses virus dan memindahkan file virus ke area karantina. File yang dikarantina tidak dapat dieksekusi, diakses, atau disebarluaskan.
PeringatanMenghentikan proses dapat mengganggu layanan yang bergantung padanya, terutama jika virus menyamar sebagai proses sah.
Jika file yang dikarantina adalah file bisnis yang terinfeksi kode berbahaya, seperti komponen aplikasi inti, mengkarantinanya dapat menyebabkan gangguan layanan.
Anda dapat memulihkan file yang berhasil dikarantina dalam waktu 30 hari. Setelah dipulihkan, file tersebut akan muncul kembali di daftar peringatan keamanan, dan Security Center akan terus memantaunya. Untuk informasi lebih lanjut, lihat Lihat dan pulihkan file yang dikarantina.
CatatanFile yang tidak dipulihkan dalam waktu 30 hari akan dihapus secara permanen.
Langkah selanjutnya
Tinjau secara berkala area karantina untuk mengonfirmasi sifat file yang dikarantina dalam waktu 30 hari. Hal ini membantu mencegah penghapusan tidak sengaja dan kehilangan data permanen. Untuk informasi lebih lanjut, lihat Lihat dan pulihkan file yang dikarantina.
Fitur Deep Cleanup adalah alat khusus dari pakar Security Center yang dirancang untuk menangani virus yang persisten dan sulit diatasi.
Kasus Penggunaan
Deep Scan adalah solusi khusus untuk virus yang sulit diatasi dan menginfeksi file. Virus jenis ini biasanya memiliki karakteristik berikut:
Menginfeksi file host: Virus menyisipkan dirinya ke file sistem, file aplikasi, atau dokumen pribadi Anda, sehingga file-file tersebut menjadi bagian dari virus.
Sulit diberantas: Pemindaian virus standar mungkin hanya menghapus virus induk tetapi tidak dapat memperbaiki file yang terinfeksi, sehingga masalah kembali muncul.
CatatanJika virus tidak sesuai deskripsi ini, gunakan fitur Virus Scan standar.
Sebelum memulai
Deep Cleanup memiliki risiko penghapusan file tidak sengaja, gangguan layanan, dan masalah integritas data. Untuk menghindari dampak pada bisnis Anda, disarankan agar Anda memeriksa file sumber sebelum melanjutkan. Poin pemeriksaan utama meliputi:
Verifikasi properti file: Pastikan file tersebut adalah virus dengan memeriksa path, signature, dan nilai hash-nya. Hal ini membantu mencegah penghapusan tidak sengaja terhadap file sistem atau bisnis.
Nilai ketergantungan bisnis: Periksa apakah file tersebut digunakan oleh layanan kritis, seperti komponen terkait
nginxataumysql.
Cara kerja
Membersihkan virus persisten dengan menghentikan proses berbahaya, mengkarantina file berbahaya, dan menghapus mekanisme persistensi yang digunakan oleh virus dan trojan.
Fitur ini juga dapat membuat snapshot untuk mencadangkan data Anda. Jika deep scan secara tidak sengaja menghapus data yang berguna, Anda dapat menggunakan snapshot tersebut untuk memulihkannya.
PentingMembuat dan menyimpan Snapshot dikenai biaya dari layanan Snapshot. Secara default, metode penagihan menggunakan skema pay-as-you-go (bayar sesuai penggunaan). Anda dapat menghubungi dukungan pra-penjualan untuk informasi detail mengenai biaya.
Langkah selanjutnya
Tinjau secara berkala area karantina untuk mengonfirmasi sifat file yang dikarantina dalam waktu 30 hari. Hal ini membantu mencegah penghapusan tidak sengaja dan kehilangan data permanen. Untuk informasi lebih lanjut, lihat Lihat dan pulihkan file yang dikarantina.
Kasus penggunaan
Gunakan metode ini ketika Anda telah mengonfirmasi bahwa file tersebut berbahaya, seperti program backdoor atau virus, dan Anda perlu segera menghentikannya agar tidak berjalan.
Cara kerja
Sistem memindahkan file mencurigakan ke area karantina. File yang dikarantina tidak dapat dieksekusi, diakses, atau disebarluaskan.
PeringatanJika file yang dikarantina adalah file bisnis yang terinfeksi kode berbahaya, seperti komponen aplikasi inti, mengkarantinanya dapat menyebabkan gangguan layanan.
Anda dapat memulihkan file yang berhasil dikarantina dalam waktu 30 hari. Setelah dipulihkan, file tersebut akan muncul kembali di daftar peringatan keamanan, dan Security Center akan terus memantaunya. Untuk informasi lebih lanjut, lihat Lihat dan pulihkan file yang dikarantina.
CatatanFile yang tidak dipulihkan dalam waktu 30 hari akan dihapus secara permanen.
Langkah selanjutnya
Tinjau secara berkala area karantina untuk mengonfirmasi sifat file yang dikarantina dalam waktu 30 hari. Hal ini membantu mencegah penghapusan tidak sengaja dan kehilangan data permanen. Untuk informasi lebih lanjut, lihat Lihat dan pulihkan file yang dikarantina.
Kasus penggunaan
Metode ini terutama digunakan untuk menangani peringatan terkait perilaku proses tidak normal, seperti proses MySQL yang mengeksekusi perintah tidak biasa atau eksploitasi kerentanan web yang menyebabkan eksekusi perintah tidak normal.
Cara kerja
Security Center mencoba menghentikan proses tersebut. Jika gagal, Anda dapat mencoba menghentikan proses secara manual dengan menjalankan perintah
kill <process ID>lalu memilih opsi Manually Handled.CatatanAnda dapat menemukan ID proses di bagian More Information pada halaman detail peringatan.
Kasus penggunaan
Metode ini sering digunakan untuk skenario serangan berbasis IP, seperti login tidak biasa dan serangan brute-force.
Cara kerja
Tindakan ini menghasilkan aturan pertahanan grup keamanan untuk memblokir akses dari alamat IP berbahaya.
Anda dapat mengklik Details untuk melihat informasi dasar tentang aturan pertahanan yang dihasilkan, seperti Assets, Rule Direction, Port Range, dan Rule Direction.
Security Center secara otomatis memilih mekanisme pemblokiran berdasarkan status instalasi agen. Mekanisme yang didukung adalah:
Security Center: Mekanisme ini menggunakan agen Security Center untuk memblokir upaya login. Agen ini digunakan secara default jika edisi Security Center Anda adalah Advanced, Enterprise, atau Ultimate, dan Anda mengaktifkan sakelar Malicious Network Behavior Prevention. Untuk informasi lebih lanjut tentang cara mengaktifkan fitur Malicious Network Behavior Prevention, lihat Proactive defense.
ECS Security Group: Saat aturan ini diaktifkan, aturan yang sesuai akan dibuat secara otomatis di grup keamanan. Aturan ini akan dihapus secara otomatis ketika aturan pemblokiran kedaluwarsa atau dinonaktifkan.
Rule Validity Period secara default adalah 6 jam dan tidak dapat diubah.
Anda dapat melihat aturan pemblokiran yang dihasilkan dengan menavigasi ke dan mengklik tab Defense Against Brute-force Attacks. Aturan tersebut tercantum di bawah System Rules.
CatatanJika Anda perlu menghentikan kebijakan pemblokiran lebih awal, Anda dapat menonaktifkan aturan tersebut di halaman System Rules.
Alert suppression
Security Center terutama menggunakan metode Add to Whitelist dan Ignore untuk alert suppression. Untuk peringatan tertentu, fitur ini juga mendukung Do Not Intercept Rule, Defense Without Notification, dan Manually Handled.
Add to Whitelist vs. Ignore
Perbedaan | Add to Whitelist | Ignore |
Kasus penggunaan | Pengecualian permanen | False positive sementara atau sesekali dan isu yang diketahui. |
Cakupan dampak |
| Hanya memengaruhi peringatan saat ini. Tidak berdampak pada peringatan berikutnya. |
Setelah Anda menambahkan peringatan ke daftar putih, Anda tidak akan lagi menerima notifikasi untuk peringatan identik atau peringatan yang sesuai dengan aturan daftar putih. Gunakan opsi ini dengan hati-hati.
Kasus penggunaan
Gunakan metode ini ketika peringatan saat ini merupakan false positive atau ketika Anda perlu menambahkan aturan pengecualian permanen. Misalnya, jika proses mencurigakan yang membuat koneksi TCP keluar tidak biasa merupakan bagian dari aktivitas bisnis normal, Anda dapat membuat aturan daftar putih untuk mencegah false positive.
Hasil
Untuk peringatan saat ini
Status peringatan berubah menjadi "Handled", dan status spesifiknya adalah Manually Add to Whitelist.
Jika peringatan identik muncul kembali, Security Center tidak akan menghasilkan peringatan baru. Sebaliknya, waktu kemunculan terakhir peringatan yang ada akan diperbarui.
Untuk peringatan berikutnya
Jika Anda menetapkan aturan daftar putih tertentu, peringatan mendatang apa pun yang sesuai dengan aturan tersebut akan secara otomatis dipindahkan ke daftar yang telah ditangani dengan status Automatically Add to Whitelist. Anda tidak akan menerima notifikasi.
Tetapkan aturan daftar putih tertentu (Opsional)
Di kotak dialog penanganan peringatan, klik tab Add to Whitelist. Klik Create Rule untuk menambahkan aturan baru. Klik ikon
untuk menghapus aturan.PentingBeberapa aturan digabungkan dengan operator OR, artinya peringatan akan dimasukkan ke daftar putih jika sesuai dengan salah satu aturan.
Pastikan aturan Anda tepat untuk menghindari cakupan yang terlalu luas. Misalnya, aturan seperti "Path contains: /data/" dapat secara tidak sengaja memasukkan subdirektori sensitif ke daftar putih, meningkatkan risiko keamanan.
Setiap aturan memiliki empat bidang konfigurasi dari kiri ke kanan:
Field peringatan: Anda dapat melihat field peringatan yang didukung untuk peringatan saat ini di bagian More Information pada halaman detail.
Jenis kondisi: Operator yang didukung meliputi Matches regex, Greater than, Equals, Less than, dan Contains. Detail untuk beberapa aturan:
Matches regex: Gunakan ekspresi reguler untuk mencocokkan pola tertentu secara tepat. Misalnya, untuk memasukkan semua konten di folder "/data/app/logs/" ke daftar putih, Anda dapat menetapkan aturan "Path matches regex: ^/data/app/logs/.*". Aturan ini mencocokkan semua file dan proses di folder tersebut beserta subdirektorinya.
Contains: Jika Anda menetapkan aturan "Path contains: D:\programs\test\", semua event dengan path yang mencakup folder ini akan dimasukkan ke daftar putih.
Nilai kondisi: Mendukung konstanta dan ekspresi reguler.
Aset yang berlaku:
Semua aset: Aturan berlaku untuk semua aset yang ada dan yang baru ditambahkan.
Hanya Aset Ini: Aturan hanya berlaku untuk aset yang terlibat dalam peringatan saat ini.
Hapus dari daftar putih
Batalkan aturan daftar putih otomatis
PentingTindakan ini hanya memengaruhi peringatan mendatang. Peringatan yang sesuai dengan aturan tidak akan lagi dimasukkan ke daftar putih secara otomatis.
Tidak memengaruhi peringatan yang telah ditangani; statusnya tetap tidak berubah.
Masuk ke . Di panel navigasi sebelah kiri, pilih .
CatatanJika Anda telah berlangganan Agentic SOC, pilih di panel navigasi kiri.
Di tab CWPP, klik Cloud Workload Alert Management di pojok kanan atas dan pilih Alert Settings.
Di halaman Alert Settings, di bagian Alert Handling Rule, pilih Automatically Add to Whitelist sebagai metode penanganan.
Temukan aturan target dan klik Delete di kolom Actions untuk membatalkan aturan daftar putih otomatis.
Hapus peringatan dari daftar putih
PentingSetelah Anda menghapus peringatan dari daftar putih, peringatan tersebut akan muncul kembali di daftar peringatan Unhandled, sehingga Anda perlu mengevaluasi dan menanganinya kembali.
Masuk ke . Di panel navigasi kiri, pilih .
CatatanJika Anda telah berlangganan Agentic SOC, pilih di panel navigasi kiri.
Di tab CWPP, atur filter Handled or Not ke Handled.
Temukan peringatan yang ingin Anda hapus dari daftar putih dan klik Remove from Whitelist di kolom Actions.
CatatanAnda juga dapat memilih beberapa peringatan dan mengklik Remove from Whitelist di bagian bawah daftar untuk melakukan penghapusan massal.
Mengabaikan peringatan adalah tindakan manajemen status dan tidak menyelesaikan masalah keamanan yang mendasarinya.
Gunakan opsi ini hanya setelah Anda mengonfirmasi bahwa peringatan tersebut merupakan false positive atau risiko yang diketahui dan dapat diterima. Hal ini membantu menghindari pengabaian serangan nyata.
Kami merekomendasikan agar Anda secara berkala meninjau daftar peringatan yang diabaikan, misalnya mingguan atau bulanan.
Kasus penggunaan
False positive atau prioritas rendah yang dikonfirmasi.
Isu risiko yang diketahui dan dapat diterima: Isu yang memicu peringatan memang ada tetapi merupakan risiko yang diketahui dan dapat diterima, atau merupakan kondisi sementara yang tidak berbahaya. Contohnya termasuk pengujian penetrasi internal yang sah atau perilaku tidak biasa selama jendela pemeliharaan tertentu. Anda tidak berencana atau tidak dapat segera memperbaiki akar penyebabnya tetapi perlu membersihkan daftar peringatan saat ini.
Lingkungan pengujian atau pengembangan: Di lingkungan non-produksi, peringatan yang diharapkan dan tidak kritis sering muncul, mengganggu pemantauan normal. Anda perlu menekannya sementara.
Hasil
Untuk peringatan saat ini: Status peringatan berubah menjadi "Handled", dan status spesifiknya adalah Ignored.
Untuk peringatan berikutnya: Tidak ada dampak. Security Center akan menghasilkan peringatan baru jika insiden serupa terjadi.
Berhenti mengabaikan peringatan
Masuk ke . Di panel navigasi kiri, pilih .
CatatanJika Anda telah berlangganan Agentic SOC, pilih di panel navigasi kiri.
Di tab CWPP, atur filter Handled or Not ke Handled.
Temukan peringatan yang ingin Anda hentikan pengabaianya dan klik Cancel Ignore di kolom Actions.
CatatanAnda juga dapat memilih beberapa peringatan dan mengklik Cancel Ignore di bagian bawah daftar untuk melakukan tindakan massal.
Do Not Intercept Rule
Kasus penggunaan
Opsi ini saat ini hanya tersedia untuk peringatan yang dihasilkan oleh aturan Adaptive WebShell Communication Interception, yang merupakan System Defense Rule dalam fitur Malicious Behavior Defense. Anda dapat menemukan fitur ini di bawah .
Cara kerja
Sistem akan berhenti memblokir permintaan ke URI yang sesuai dan tidak akan lagi menghasilkan peringatan untuknya.
Defense Without Notification
Anda tidak akan lagi menerima notifikasi terpisah untuk peringatan identik berikutnya. Gunakan opsi ini dengan hati-hati.
Kasus penggunaan
Ini berlaku untuk peringatan yang dihasilkan oleh aturan Malicious Behavior Defense (jenis peringatan: precision defense), yang ditemukan di bawah .
Cara kerja
Untuk peringatan saat ini: Status peringatan berubah menjadi "Handled".
Untuk peringatan berikutnya: Ketika aturan pertahanan yang sama dipicu lagi, event peringatan yang dihasilkan akan secara otomatis dipindahkan ke daftar yang telah ditangani, dan tidak ada notifikasi yang dikirim.
Batalkan aturan "Defend Without Notification"
Masuk ke . Di panel navigasi kiri, pilih .
CatatanJika Anda telah berlangganan Agentic SOC, pilih di panel navigasi kiri.
Di tab CWPP, klik Cloud Workload Alert Management di pojok kanan atas dan pilih Alert Settings.
Di halaman Alert Settings, di bagian Alert Handling Rule, pilih Defense Without Notification sebagai metode penanganan.
Temukan aturan target dan klik Delete di kolom Actions untuk membatalkan aturan tersebut.
Jika Anda menyelesaikan peringatan secara manual, pilih Manually Handled. Status peringatan akan berubah menjadi Manually Handled.
Kasus Penggunaan
Ini hanya tersedia untuk menangani peringatan Security Center Agent is Offline.
Cara kerja
Alat diagnostik agen Security Center akan berjalan di mesin untuk mengumpulkan data terkait agen, seperti informasi jaringan, proses, dan log, lalu melaporkannya ke Security Center untuk dianalisis.
Pemeriksaan ini mengonsumsi CPU dan memori. Nilai potensi dampaknya sebelum menjalankannya.
Pilih mode masalah:
Standard Mode: Mengumpulkan dan melaporkan data log terkait agen ke Security Center untuk dianalisis.
Enhancement Mode: Mengumpulkan dan melaporkan data jaringan, proses, dan log terkait agen ke Security Center untuk dianalisis.
Setelah Anda mengklik Handle Now, tugas diagnostik akan dihasilkan. Anda dapat melihat progres dan hasil tugas dengan menavigasi ke dan mengklik Agent Task Management di pojok kanan atas. Untuk informasi lebih lanjut, lihat Agent troubleshooting.
CatatanJika solusi disediakan di kolom Result, ikuti langkah yang direkomendasikan.
Jika tidak ada solusi yang disediakan di kolom Result, klik Download Diagnostic Logs di kolom Actions. Berikan log diagnostik yang diekspor dan ID akun Alibaba Cloud Anda (AliUid) kepada personel terkait untuk analisis lebih lanjut.
Tutorial untuk menangani peringatan virus umum
Penguatan keamanan dan pencegahan serangan
Tingkatkan Security Center: Edisi Enterprise dan Ultimate mendukung karantina virus otomatis (pemindaian trojan otomatis) untuk memberikan pertahanan tepat dan mendukung lebih banyak item pemeriksaan keamanan.
Perketat kontrol akses: Buka hanya port layanan yang diperlukan, seperti 80 dan 443. Konfigurasikan daftar putih alamat IP yang ketat untuk port manajemen, seperti 22 dan 3389, serta port database, seperti 3306.
CatatanUntuk server ECS Alibaba Cloud, lihat Mengelola grup keamanan.
Tetapkan password server yang kompleks: Tetapkan password kompleks untuk server dan aplikasi Anda yang mengandung huruf kapital, huruf kecil, angka, dan karakter khusus.
Perbarui perangkat lunak: Segera perbarui perangkat lunak aplikasi Anda ke versi resmi terbaru. Hindari menggunakan versi lama yang tidak lagi dipelihara atau memiliki kerentanan keamanan yang diketahui.
Buat backup berkala: Buat kebijakan snapshot otomatis berkala untuk data penting dan disk sistem.
CatatanUntuk server ECS Alibaba Cloud, lihat Buat kebijakan snapshot otomatis.
Perbaiki kerentanan tepat waktu: Secara berkala gunakan fitur Vulnerability Fixing Security Center untuk memperbaiki kerentanan sistem dan aplikasi penting.
Reset sistem operasi server (gunakan dengan hati-hati).
Jika virus telah menginfiltrasi sistem secara mendalam dan terkait dengan komponen sistem tingkat bawah, kami sangat menyarankan agar Anda mencadangkan data penting lalu mereset sistem operasi server. Prosedurnya sebagai berikut:
Buat snapshot untuk mencadangkan data penting di server. Untuk informasi lebih lanjut, lihat Buat snapshot untuk disk.
Inisialisasi ulang sistem operasi server. Untuk informasi lebih lanjut, lihat Inisialisasi ulang disk sistem.
Gunakan snapshot untuk membuat disk cloud. Untuk informasi lebih lanjut, lihat Buat disk dari snapshot.
Pasang disk cloud ke server setelah menginstal ulang sistem operasi. Untuk informasi lebih lanjut, lihat Pasang disk data.
FAQ
Isu penanganan peringatan
Apa yang harus saya lakukan jika peringatan yang telah ditangani muncul kembali?
Infeksi berulang dapat disebabkan oleh:
Password lemah: Password SSH, RDP, atau database Anda terlalu sederhana.
Kerentanan belum diperbaiki: Terdapat kerentanan berisiko tinggi pada aplikasi seperti Redis, XXL-JOB, atau WebLogic.
Backdoor laten: Pembersihan awal tidak lengkap dan meninggalkan backdoor tersembunyi.
Kontaminasi data: Anda memulihkan backup atau snapshot yang mengandung virus.
Solusi:
Lakukan penguatan keamanan seperti dijelaskan dalam Penguatan keamanan dan pencegahan serangan.
Setelah menghapus virus, cadangkan data Anda lalu restart server.
PeringatanMe-restart server menyebabkan gangguan layanan singkat. Selama periode ini, website dan aplikasi yang bergantung pada server tidak dapat diakses, yang dapat memengaruhi pengalaman pengguna atau kelangsungan bisnis. Kami merekomendasikan agar Anda melakukan tindakan ini selama jam sepi.
Beberapa aplikasi yang dideploy di server mungkin tidak dikonfigurasi untuk start otomatis atau bergantung pada variabel lingkungan tertentu. Aplikasi tersebut sering memerlukan restart manual. Misalnya, versi tertentu message queue memerlukan restart manual. Evaluasi rencana restart Anda terlebih dahulu.
Jika masalah tetap berlanjut setelah restart, cadangkan data Anda lalu reset sistem operasi server.
Mengapa saya tidak dapat menghapus file virus (seperti trojan atau program penambangan)?
File dan direktori induknya memiliki atribut immutable. Gunakan perintah
chattr -iuntuk menghapus atribut immutable dari file dan direktori induknya sebelum menghapusnya.Saya menerima peringatan DDoS trojan. Mengapa peringatan tetap muncul meskipun saya telah menghapus file secara manual?
File tersebut tidak sepenuhnya dihapus. Untuk menyelesaikan masalah ini, lakukan langkah-langkah berikut:
Jika Anda menggunakan edisi Free Security Center, Anda dapat memulai uji coba gratis 7 hari untuk edisi Enterprise atau Ultimate. Atau, lihat Beli Security Center untuk meningkatkan ke edisi Antivirus atau Enterprise.
Setelah upgrade, buka halaman penanganan peringatan keamanan, temukan peringatan DDoS trojan, klik Handle, dan pilih Antivirus. Sistem secara otomatis akan menghentikan proses trojan dan mengkarantina file tersebut. Untuk informasi lebih lanjut, lihat Antivirus.
Bagaimana cara memasukkan peringatan precision defense ke daftar putih?
Peringatan yang dihasilkan oleh fitur precision defense bergantung pada plug-in pertahanan dan secara otomatis diblokir. Anda harus secara manual menambahkan peringatan tersebut ke daftar putih di bagian Host Rule Management.
Buka Security Center console > Protection Settings > Host Protection > Host Rule Management. Di pojok kiri atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
Di tab Malicious Behavior Defense, pilih sub-tab Custom Defense Rule dan klik Create Rule. Jenis berikut didukung untuk daftar putih:
Process Hash
Command Line
Process Network
File Read/Write
Registry Operation
Dynamic-link Library Loading
File Rename
Isu fitur konsol
Apa yang harus saya lakukan jika peringatan melaporkan file yang tidak ada?
Hal ini dapat terjadi jika virus telah dihapus dengan metode lain atau jika virus membersihkan jejaknya sendiri. Untuk membersihkan peringatan ini, klik "Ignore" atau "Handled Manually" di daftar peringatan.
Saya menerima peringatan keamanan, tetapi tidak dapat menemukan data terkait di konsol. Apa yang harus saya lakukan?
Periksa edisi Security Center Anda saat ini. Edisi Free memiliki fungsi terbatas. Kami merekomendasikan agar Anda melihat Beli Security Center untuk meningkatkan ke edisi Antivirus atau Enterprise.
Gunakan fitur Antivirus untuk memindai dan menangani ancaman.
Bagaimana cara menangani beberapa peringatan sekaligus?
Security Center saat ini mendukung tindakan massal seperti memasukkan ke daftar putih, mengabaikan, menghapus dari daftar putih, dan membatalkan pengabaian.
Di panel navigasi kiri, pilih . Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland. Di daftar peringatan keamanan, pilih peringatan yang ingin Anda tangani.
Di pojok kiri bawah, klik Ignore Once, Add to Whitelist, Remove from Whitelist, atau Cancel Ignore.
Mengapa tombol Handle untuk peringatan keamanan berwarna abu-abu?
Periksa edisi Security Center Anda saat ini. Edisi Free tidak mendukung penanganan peringatan keamanan. Anda dapat memulai uji coba gratis 7 hari atau meningkatkan ke edisi Antivirus atau Enterprise. Untuk informasi lebih lanjut, lihat Beli Security Center.
Edisi berbeda mendukung jenis peringatan keamanan yang berbeda. Untuk informasi lebih lanjut, lihat jenis peringatan keamanan.