全部产品
Search

搜索本产品

    Security Center:Evaluasi dan tangani peringatan keamanan

    文档中心

    Security Center:Evaluasi dan tangani peringatan keamanan

    更新时间:Dec 17, 2025

    Pusat Keamanan menghasilkan peringatan keamanan saat mendeteksi intrusi aset, infeksi malware, atau perilaku tidak normal. Penanganan cepat dan tepat terhadap peringatan ini sangat penting untuk menjaga stabilitas bisnis dan keamanan data. Topik ini menjelaskan cara mengikuti proses respons darurat guna segera mengevaluasi risiko, menghilangkan ancaman, dan memperkuat keamanan sistem Anda.

    Evaluasi peringatan keamanan

    Sebelum menangani suatu event keamanan, evaluasi dampak peringatan tersebut, analisis serangan yang terjadi, dan identifikasi positif palsu. Proses ini membantu mencegah gangguan pada sistem Anda. Anda dapat membuka halaman detail peringatan untuk memperoleh informasi yang mendukung penilaian situasi tersebut.

    Buka halaman detail peringatan

    1. Masuk ke Konsol Pusat Keamanan.

    2. Di panel navigasi sebelah kiri, pilih Detection and Response > Alert. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda ditempatkan: Chinese Mainland atau Outside Chinese Mainland.

      Catatan

      Jika Anda telah mengaktifkan layanan Cloud Threat Detection and Response (CTDR), jalur di panel navigasi sebelah kiri berubah menjadi CTDR > Alert.

    3. Di tab CWPP, temukan peringatan yang dituju lalu klik Actions di kolom Details.

      Penting

      • Anda dapat mengaktifkan notifikasi peringatan di System Settings > Notification Settings. Hal ini memungkinkan Anda menemukan peringatan tertentu dengan cepat berdasarkan informasi dalam notifikasi, seperti nama peringatan.

      • Edisi Ultimate mendukung penyaringan peringatan berdasarkan jenis aset. Di atas daftar peringatan, Anda dapat mengklik All, Host, Container, K8s, atau Cloud Product untuk melihat peringatan sesuai jenis aset yang bersangkutan.

    Pahami detail peringatan

    Anda dapat menggunakan pelacakan sumber peringatan, Description, dan informasi lainnya untuk memahami dasar peringatan, jumlah kemunculannya, serta kemungkinan penyebabnya. Informasi ini membantu Anda menentukan apakah peringatan tersebut merupakan positif palsu dan memutuskan solusi yang tepat.

    Deskripsi peringatan

    Deskripsi peringatan menjelaskan abnormalitas yang terdeteksi, risiko potensial, serta ancaman terkait. Deskripsi ini juga memberikan saran penanganan.

    Contoh evaluasi:

    image Seperti yang ditunjukkan pada gambar di atas:

    Risiko potensial: File konfigurasi terkait dimodifikasi untuk membuat back door login.

    Tindakan yang disarankan: Konfirmasi dengan departemen bisnis terkait apakah proses ini merupakan bagian dari operasi bisnis normal. Jika bukan, prioritaskan untuk menghentikan proses tersebut lalu selidiki sistem terhadap ancaman lainnya.

    Alert source tracing

    Pusat Keamanan menyediakan fitur pelacakan otomatis sumber serangan. Fitur ini mengintegrasikan log dari berbagai produk cloud dan menggunakan analitik data untuk menghasilkan diagram visual rantai event intrusi. Fitur ini juga mendukung pratinjau data mentah. Fitur ini membantu Anda dengan cepat mengidentifikasi penyebab intrusi dan menyusun kebijakan respons darurat.

    Catatan

    • Fitur ini hanya tersedia untuk server yang dilindungi oleh edisi Enterprise, Ultimate, Host Protection, atau Hosts and Container Protection.

    • Rantai pelacakan sumber serangan otomatis dihasilkan 10 menit setelah ancaman terdeteksi. Anda dapat melihat informasi ini 10 menit setelah peringatan dihasilkan.

    • Informasi pelacakan sumber serangan otomatis untuk suatu peringatan keamanan secara otomatis dihapus tiga bulan setelah peringatan dipicu. Kami menyarankan agar Anda segera melihat informasi ini.

    Kasus penggunaan:

    Pelacakan sumber serangan cocok untuk respons darurat dan pelacakan sumber di lingkungan cloud untuk kasus penggunaan seperti intrusi web, event worm, ransomware, dan koneksi aktif ke sumber unduhan berbahaya.

    Contoh evaluasi:

    • Di area pelacakan sumber pada halaman detail, periksa apakah rantai serangan lengkap dan valid. Semakin lengkap rantai serangan, semakin mendesak Anda perlu menangani peringatan tersebut.

      Bagaimana cara mengetahui apakah suatu tautan valid?

      • Rantai tidak valid: Hasil pelacakan sumber hanya menunjukkan perilaku pemindaian atau probing titik tunggal, seperti pemindaian port terisolasi atau upaya eksploitasi kerentanan yang gagal. Tidak ada tindakan lanjutan yang dipicu, seperti pembentukan koneksi, eksekusi perintah, atau pengunduhan file berbahaya.

      • Rantai valid: Graf pelacakan sumber menunjukkan jalur intrusi yang jelas, misalnya: exploit > Web shell write > internal network probe > malicious file download > lateral movement.

    • Klik suatu node pada graf pelacakan sumber. Di area detail node di sebelah kiri, periksa apakah target serangan tercapai. Misalnya:

      • Periksa perilaku endpoint: Penyerang mengeksekusi perintah di server, seperti whoami dan net user.

      • Periksa adanya pelanggaran data: Terdapat koneksi keluar yang tidak normal, seperti koneksi ke pool penambang atau server C2, atau file sensitif dibaca atau diunggah.

      • Periksa jejak persistensi: Akun back door, tugas terjadwal, atau layanan berbahaya dibuat.

    • Klik suatu node pada graf pelacakan sumber. Di area detail node di sebelah kiri, periksa apakah log mentah dapat diverifikasi, seperti catatan pemblokiran WAF, log pembuatan proses host, atau log koneksi jaringan.

      • Dapat diverifikasi: Log dasar tersedia untuk mendukung bukti, seperti catatan pemblokiran WAF atau log proses host untuk eksekusi perintah berbahaya. Ini membuktikan bahwa serangan benar-benar terjadi. Jika serangan diblokir, Anda dapat menandai peringatan sebagai "Handled" dan tidak perlu mengambil tindakan lebih lanjut. Jika serangan tidak diblokir, segera tangani peringatan tersebut.

      • Tidak dapat diverifikasi: Tidak ada log pendukung. Hal ini bisa terjadi karena log dihapus atau deteksi dilewati. Waspadalah tinggi dalam kasus ini karena mungkin merupakan tanda serangan tingkat lanjut.

    Sandbox detection

    Pusat Keamanan menyediakan fitur deteksi sandbox. Dengan menjalankan file di lingkungan yang aman dan terisolasi, Pusat Keamanan menganalisis data perilaku file statis dan dinamis untuk menganalisis aplikasi mencurigakan secara aman dan mendeteksi perilaku berbahaya. Jika peringatan keamanan dihasilkan, Anda dapat menangani program berbahaya berdasarkan hasil deteksi sandbox.

    Catatan

    Tidak semua peringatan malware mendukung fitur deteksi sandbox. Halaman tersebut menunjukkan peringatan mana yang didukung.

    1. Di daftar peringatan keamanan, temukan peringatan yang ingin Anda kelola lalu klik Actions di kolom Details.

    2. Di bagian Sandbox, lihat hasil deteksi sandbox.

    Contoh evaluasi:

    image

    • Behavior Tag: Bagian ini memberi label pada fitur file berbahaya dan menyoroti operasi berisiko tinggi yang dilakukannya. Merah menunjukkan perilaku intrusi yang paling perlu diperhatikan.

    • ATT&CK Matrix: Bagian ini menunjukkan alur proses runtime deteksi sandbox dan menyoroti operasi berisiko tinggi yang dilakukan oleh file berbahaya. Merah menunjukkan perilaku intrusi yang paling perlu diperhatikan.

    Panduan cepat penanganan peringatan

    Penting

    • Jika Anda memverifikasi informasi peringatan dan menentukan bahwa itu merupakan perilaku normal atau tidak perlu ditangani, Anda dapat memilih untuk mengabaikan atau menambahkan peringatan ke daftar putih.

    • Jika Anda menghadapi ancaman virus persisten atau peringatan yang sama muncul berulang kali, tangani di konsol lalu lakukan penguatan keamanan dengan mengikuti petunjuk di Security hardening and attack prevention.

    Jenis peringatan

    Nama peringatan

    Tindakan yang disarankan

    Malware

    Mining program

    Virus scan

    DDoS Trojan

    Trojan program

    Malicious program

    Exploit program

    Suspicious PowerShell command

    Back door program

    Reverse shell back door

    Infectious virus

    Deep scan

    Unusual logon

    Malicious IP logon

    Block

    Successful brute-force attack on ECS

    Logon from an uncommon account to an ECS instance

    Logon from an uncommon location to an ECS instance

    Back door account logon

    Web shell

    Web shell file detected

    Quarantine

    Log or image file that contains web shell code

    Trojan or hotlinking back door file detected

    Arbitrary file write back door detected

    Abnormal process behavior

    Abnormal command execution in Java application

    End process

    Suspicious process path

    Network proxy forwarding behavior

    Suspicious PowerShell command

    Persistence back door creation behavior

    SSH back door

    Suspicious encoded command

    Suspicious command execution

    Malicious script

    Malicious script code execution

    End process

    Precise Defense

    Bypassing security software

    Deep scan

    Cloud product threat detection

    RAM user logon from an uncommon location

    1. Ubah password akun atau batasi akses pengguna berdasarkan alamat IP melalui RAM.

    2. Ubah status peringatan menjadi Manually Handled.

    Hacking tool using an AccessKey

    1. Hapus AccessKey pengguna RAM atau nonaktifkan AccessKey pengguna RAM.

    2. Ubah status peringatan menjadi Manually Handled.

    Abnormal role permission traversal behavior

    1. Masuk ke Resource Access Management (RAM) console sebagai administrator RAM dan modifikasi izin pengguna RAM.

    2. Ubah status peringatan menjadi Manually Handled.

    RAM user logs on to the console and performs sensitive operations

    Other

    Security Center agent is abnormally offline

    Troubleshooting

    Menangani peringatan secara manual

    Penting

    Jika Anda menangani event yang diagregasi dari peringatan Pusat Keamanan menggunakan fitur security event handling, Pusat Keamanan secara otomatis memperbarui status peringatan terkait di tab CWPP. Anda tidak perlu memperbarui status peringatan secara manual.

    Prosedur

    1. Masuk ke Konsol Pusat Keamanan.

    2. Di panel navigasi sebelah kiri, pilih Detection and Response > Alert. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda ditempatkan: Chinese Mainland atau Outside Chinese Mainland.

      Catatan

      Jika Anda telah mengaktifkan layanan Cloud Threat Detection and Response, jalur di panel navigasi sebelah kiri berubah menjadi CTDR > Alert.

    3. Di halaman Alert, pada tab CWPP, temukan peringatan target. Di kolom Actions, klik Handle, pilih metode penanganan untuk peringatan tersebut, lalu klik Handle Now.

      Catatan

      • Metode penanganan bervariasi tergantung pada jenis peringatan. Metode yang ditampilkan di konsol adalah metode yang tersedia untuk digunakan.

      • Anda dapat menambahkan keterangan sesuai kebutuhan. Keterangan dapat mencakup alasan penanganan peringatan dan nama operator. Hal ini membantu Anda mengelola peringatan yang telah ditangani.

    Metode penanganan

    Metode penanganan dikategorikan sebagai berikut:

    • Penghapusan ancaman: Langsung menghapus dan memblokir ancaman keamanan yang diketahui, memperbaiki infeksi, mencegah serangan baru, dan memblokir sumber ancaman untuk melindungi aset.

    • Penekanan peringatan: Digunakan untuk menangani positif palsu atau risiko yang diketahui dan dapat diterima. Anda dapat menggunakan metode seperti daftar putih dan mengabaikan untuk menandai peringatan saat ini sebagai tidak valid atau tidak memerlukan tindakan. Anda juga dapat mengontrol apakah peringatan berikutnya akan dihasilkan.

    • Troubleshooting: Memecahkan masalah abnormalitas pada agen Pusat Keamanan untuk diagnosis tambahan.

    Penghapusan ancaman

    • Kasus penggunaan umum

      • Konfirmasi aktivitas berbahaya: Metode ini digunakan ketika Pusat Keamanan mendeteksi proses berbahaya, seperti virus, trojan, atau ransomware, dan Anda perlu segera menghentikannya agar tidak merusak sistem.

      • Respons darurat: Metode ini digunakan ketika Anda perlu segera menghentikan penyebaran virus atau risiko pelanggaran data untuk mencegah ancaman menyebar ke server lain.

    • Pemeriksaan awal

      Pemindaian virus dapat menyebabkan gangguan layanan. Untuk mencegah gangguan pada operasi bisnis normal, periksa file sumber sebelum menangani peringatan. Pemeriksaan umum meliputi:

      • Verifikasi properti file: Konfirmasi apakah file tersebut merupakan virus dengan memeriksa jalur file, signature, dan nilai hash-nya. Hal ini membantu mencegah Anda secara tidak sengaja menghentikan file sistem atau bisnis.

      • Nilai ketergantungan bisnis: Periksa apakah file tersebut dipanggil oleh layanan kritis, seperti komponen terkait nginx dan mysql.

    • Deskripsi

      • Segera hentikan proses virus dan pindahkan file virus ke area karantina. File yang dikarantina tidak dapat dieksekusi, diakses, atau disebarluaskan.

        Peringatan

        • Menghentikan proses dapat menyebabkan layanan yang bergantung padanya menjadi abnormal. Misalnya, hal ini dapat terjadi jika virus menyamar sebagai proses yang sah.

        • Jika file yang dikarantina adalah file bisnis yang disisipi kode berbahaya, seperti komponen aplikasi inti, mengkarantina file tersebut dapat menyebabkan gangguan layanan.

      • File yang berhasil dikarantina dapat dipulihkan dengan satu klik dalam waktu 30 hari. File yang dipulihkan akan muncul kembali di daftar peringatan keamanan, dan Pusat Keamanan akan terus memantaunya. Untuk informasi lebih lanjut tentang cara memulihkan file, lihat View and restore quarantined files.

        Catatan

        File yang tidak dipulihkan dalam waktu 30 hari akan secara otomatis dihapus dan tidak dapat dipulihkan.

    • Tindakan lanjutan

      Tinjau area karantina secara berkala. Konfirmasi sifat file dalam waktu 30 hari untuk menghindari ketidakmampuan memulihkannya setelah dihapus secara tidak sengaja. Untuk informasi lebih lanjut tentang cara melihat file di area karantina, lihat View and restore quarantined files.

    Deep Cleanup adalah fitur pemindaian khusus yang dikembangkan oleh tim ahli keamanan Pusat Keamanan untuk virus yang persisten dan bandel.

    • Kasus penggunaan umum

      Pemindaian mendalam adalah solusi khusus untuk virus yang bandel dan menular. Virus-virus ini memiliki karakteristik sebagai berikut:

      • Menginfeksi file host: Virus menginfeksi file sistem, file aplikasi, atau dokumen pribadi dengan menyisipkan kode berbahaya ke dalamnya.

      • Sulit diberantas: Pemindaian virus biasa mungkin hanya menghapus virus induk tetapi gagal memperbaiki file yang terinfeksi, sehingga masalah tersebut kambuh kembali.

      Catatan

      Jika Anda tidak berurusan dengan jenis virus ini, gunakan fitur "Virus scan" biasa terlebih dahulu.

    • Pemeriksaan awal

      Deep Cleanup dapat menimbulkan risiko seperti penghapusan file secara tidak sengaja, gangguan layanan, dan masalah integritas data. Untuk mencegah gangguan pada operasi bisnis normal, periksa file sumber sebelum menangani peringatan. Pemeriksaan umum meliputi:

      • Verifikasi properti file: Konfirmasi apakah file tersebut merupakan virus dengan memeriksa jalur file, signature, dan nilai hash-nya. Hal ini membantu mencegah Anda secara tidak sengaja menghentikan file sistem atau bisnis.

      • Nilai ketergantungan bisnis: Periksa apakah file tersebut dipanggil oleh layanan kritis, seperti komponen terkait nginx dan mysql.

    • Deskripsi

      • Membersihkan virus bandel dengan menghentikan proses virus berbahaya, mengkarantina file berbahaya, dan membersihkan mekanisme persistensi trojan virus.

      • Juga menyediakan fitur pembuatan snapshot. Anda dapat membuat snapshot untuk mencadangkan data sehingga jika data yang berguna secara tidak sengaja dihapus selama pemindaian mendalam, Anda dapat memulihkannya dari snapshot.

        Penting

        Pembuatan dan penyimpanan snapshot dikenai biaya. Biaya ini dikenakan oleh produk snapshot. Metode penagihan default adalah pay-as-you-go. Untuk informasi lebih lanjut tentang biaya, hubungi dukungan pra-penjualan.

    • Tindakan lanjutan

      Tinjau area karantina secara berkala. Konfirmasi sifat file dalam waktu 30 hari untuk menghindari ketidakmampuan memulihkannya setelah dihapus secara tidak sengaja. Untuk informasi lebih lanjut tentang cara melihat file di area karantina, lihat View and restore quarantined files.

    • Kasus penggunaan umum

      Metode ini digunakan ketika Anda memastikan bahwa suatu file adalah file berbahaya, seperti program back door atau virus, dan Anda perlu segera menghentikannya agar tidak berjalan.

    • Deskripsi

      • Sistem memindahkan file mencurigakan ke area karantina. File yang dikarantina tidak dapat dieksekusi, diakses, atau disebarluaskan.

        Peringatan

        Jika file yang dikarantina adalah file bisnis yang disisipi kode berbahaya, seperti komponen aplikasi inti, mengkarantina file tersebut dapat menyebabkan gangguan layanan.

      • File yang berhasil dikarantina dapat dipulihkan dengan satu klik dalam waktu 30 hari. File yang dipulihkan akan muncul kembali di daftar peringatan keamanan, dan Pusat Keamanan akan terus memantaunya. Untuk informasi lebih lanjut tentang cara memulihkan file, lihat View and restore quarantined files.

        Catatan

        File yang tidak dipulihkan dalam waktu 30 hari akan secara otomatis dihapus dan tidak dapat dipulihkan.

    • Tindakan lanjutan

      Tinjau area karantina secara berkala. Konfirmasi sifat file dalam waktu 30 hari untuk menghindari ketidakmampuan memulihkannya setelah dihapus secara tidak sengaja. Untuk informasi lebih lanjut tentang cara melihat file di area karantina, lihat View and restore quarantined files.

    • Kasus penggunaan umum

      Metode ini terutama digunakan untuk menangani peringatan terkait perilaku proses tidak normal, seperti MySQL mengeksekusi perintah tidak normal atau eksploitasi kerentanan web yang menyebabkan eksekusi perintah tidak normal.

    • Deskripsi

      Pusat Keamanan mencoba menghentikan proses tersebut. Jika gagal, Anda dapat mencoba menghentikan proses secara manual dengan perintah kill [process ID], lalu pilih opsi "Manually Handled".

      Catatan

      Anda dapat menemukan ID proses di halaman detail peringatan di bawah More Information.

    • Kasus penggunaan umum

      Metode ini terutama digunakan untuk kasus serangan berbasis IP, seperti login tidak biasa dan serangan brute-force.

    • Deskripsi

      • Aturan pertahanan grup keamanan dihasilkan untuk memblokir akses dari alamat IP berbahaya.

        • Anda dapat mengklik Details untuk melihat informasi dasar aturan pertahanan yang dihasilkan, seperti Assets, Rule Direction, Port Range, dan Rule Direction. image

        • Pusat Keamanan secara otomatis memilih mekanisme pemblokiran berdasarkan status instalasi klien. Mekanisme pemblokiran yang didukung adalah sebagai berikut:

          • Security Center: Mekanisme intersepsi ini menggunakan plugin AliNet. Jika Anda menggunakan edisi Advanced, Enterprise, atau Ultimate Pusat Keamanan dan mengaktifkan fitur Malicious Network Behavior Prevention, Pusat Keamanan secara otomatis menggunakan plugin AliNet untuk memblokir login. Untuk informasi lebih lanjut tentang cara mengaktifkan fitur Malicious Network Behavior Prevention, lihat Proactive Defense.

          • ECS Security Group: Saat Anda mengaktifkan aturan sistem, aturan grup keamanan dibuat secara otomatis. Jika aturan sistem kedaluwarsa atau dinonaktifkan, aturan grup keamanan akan dihapus secara otomatis.

      • Rule Validity Period adalah waktu efektif aturan pemblokiran. Periode validitas default adalah 6 jam dan tidak dapat diubah.

      • Aturan pemblokiran yang dihasilkan dapat dilihat di Protection Configuration > Host Protection > Host-specific Rule Management di tab Defense Against Brute-force Attacks di bawah System Rules.

        Catatan

        Untuk menghentikan kebijakan pemblokiran lebih awal, Anda dapat mematikan sakelar enable di aturan sistem.

    Supresi Peringatan

    Pusat Keamanan menyediakan metode Add to Whitelist dan Ignore untuk menekan peringatan. Untuk peringatan tertentu, juga mendukung Do Not Intercept Rule, Defense Without Notification, dan Manually Handled.

    Perbedaan

    Perbedaan

    Add to Whitelist

    Ignore

    Kasus penggunaan

    Masalah pengecualian permanen

    Cocok untuk positif palsu sementara atau sesekali, atau masalah yang diketahui.

    Cakupan dampak

    • Ketika file dengan MD5 yang sama dengan peringatan saat ini muncul di jalur file yang sama pada aset host yang sama.

    • Jika aturan daftar putih lainnya ditetapkan, peringatan berikutnya yang sesuai dengan aturan daftar putih juga tidak akan diberi notifikasi.

    Hanya menangani peringatan saat ini dan tidak berpengaruh pada peringatan berikutnya.

    Peringatan

    Setelah Anda menambahkan peringatan ke daftar putih, Anda tidak akan lagi diberi notifikasi peringatan yang sama atau peringatan yang sesuai dengan aturan daftar putih. Gunakan opsi ini dengan hati-hati.

    • Kasus penggunaan umum

      Peringatan saat ini merupakan positif palsu, atau Anda perlu menambahkan aturan pengecualian permanen. Misalnya, jika proses mencurigakan dengan paket TCP keluar yang tidak normal sebenarnya merupakan interaksi bisnis normal, atau perilaku pemindaian mencurigakan sebenarnya merupakan deteksi jaringan normal, Anda perlu menetapkan aturan daftar putih untuk menghindari positif palsu tersebut.

    • Deskripsi hasil

      • Untuk peringatan saat ini

        • Peringatan ini ditandai sebagai "Handled", dan status peringatan berubah menjadi Manually Add to Whitelist.

        • Ketika peringatan yang sama terjadi lagi, data peringatan baru tidak dihasilkan, tetapi waktu kemunculan terbaru peringatan ini diperbarui.

          Apa yang dimaksud dengan peringatan yang sama?

          Peringatan yang sama mengacu pada ancaman keamanan dengan karakteristik yang sangat konsisten. Misalnya:

          • Peringatan jenis virus: Aset yang sama + jalur file virus yang sama + MD5 file virus yang sama.

          • Login tidak biasa: Aset yang sama + alamat IP login yang sama.

      • Untuk peringatan berikutnya

        Jika aturan daftar putih khusus ditetapkan, ketika peringatan yang sesuai dengan aturan daftar putih kustom terjadi lagi, peringatan tersebut secara otomatis dipindahkan ke daftar yang ditangani dengan status Automatically Add to Whitelist, dan tidak ada notifikasi peringatan yang dikirim.

    • Tetapkan aturan daftar putih khusus (opsional)

      Di kotak dialog penanganan peringatan, klik tab Add to Whitelist. Klik Create Rule untuk menambahkan aturan baru. Klik image untuk menghapus aturan.

      Penting

      • Jika Anda menetapkan beberapa aturan, hubungan di antara mereka adalah "ATAU". Aturan berlaku jika salah satu kondisi terpenuhi.

      • Pastikan presisi saat mengonfigurasi aturan untuk menghindari cakupan yang terlalu luas. Misalnya, menetapkan "Path contains: /data/" mungkin secara tidak sengaja memasukkan subdirektori sensitif lainnya ke daftar putih dan meningkatkan risiko keamanan.

      Setiap aturan memiliki empat kotak konfigurasi dari kiri ke kanan, seperti dijelaskan di bawah ini:

      1. Bidang informasi peringatan: Di halaman detail, di bawah More Information, Anda dapat melihat bidang informasi peringatan mana yang didukung untuk peringatan saat ini.

      2. Jenis kondisi: Mendukung operasi seperti pencocokan ekspresi reguler, lebih besar dari, sama dengan, kurang dari, dan berisi. Beberapa aturan dijelaskan sebagai berikut:

        • Ekspresi reguler: Anda dapat menggunakan ekspresi reguler untuk mencocokkan pola tertentu secara akurat. Misalnya, untuk memasukkan semua konten di folder "/data/app/logs/" ke daftar putih, Anda dapat menetapkan aturan "Path matches regex: ^/data/app/logs/.*". Ini akan mencocokkan semua file atau proses di folder tersebut dan subdirektorinya.

        • Berisi kata kunci: Tetapkan aturan "Path contains: D:\programs\test\". Semua event yang jalurnya berisi folder ini dimasukkan ke daftar putih.

      3. Nilai kondisi: Mendukung konstanta dan ekspresi reguler.

      4. Aset yang berlaku:

        • Semua aset: Berlaku untuk aset baru dan semua aset yang ada.

        • Hanya untuk aset saat ini: Hanya berlaku untuk aset yang terlibat dalam peringatan saat ini.

    • Batalkan daftar putih

      • Batalkan aturan daftar putih otomatis

        Penting

        • Tindakan ini hanya berpengaruh pada peringatan yang dihasilkan setelahnya. Peringatan yang sesuai dengan aturan daftar putih tidak lagi secara otomatis dimasukkan ke daftar putih.

        • Hal ini tidak berpengaruh pada peringatan yang sudah ditangani. Status peringatan tetap tidak berubah.

        1. Masuk ke . Di panel navigasi sebelah kiri, pilih Detection and Response > Alert.

          Catatan

          Jika Anda telah membeli layanan Cloud Threat Detection and Response (CTDR), di panel navigasi sebelah kiri, pilih Cloud Threat Detection and Response > Alert.

        2. Di pojok kanan atas tab CWPP, klik Cloud Workload Alert Management dan pilih Alert Settings.

        3. Di halaman Alert Settings, di bagian Alert Handling Rule, atur Metode Penanganan menjadi Automatically Add to Whitelist.

        4. Temukan aturan yang dituju lalu klik Delete di kolom Actions untuk membatalkan aturan daftar putih otomatis.

      • Batalkan daftar putih untuk peringatan

        Penting

        Setelah Anda membatalkan daftar putih, peringatan tersebut muncul kembali di daftar peringatan Unhandled. Anda harus mengevaluasi dan menangani peringatan tersebut kembali.

        1. Masuk ke . Di panel navigasi sebelah kiri, pilih Detection and Response > Alert.

          Catatan

          Jika Anda telah membeli layanan Cloud Threat Detection and Response (CTDR), di panel navigasi sebelah kiri, pilih Cloud Threat Detection and Response > Alert.

        2. Di tab CWPP, atur filter Handled or Not menjadi Handled.

        3. Temukan data peringatan yang ingin Anda hapus dari daftar putih lalu klik tombol Remove from Whitelist di kolom Actions untuk membatalkan daftar putih untuk peringatan saat ini.

          Catatan

          Anda juga dapat memilih beberapa item data peringatan lalu mengklik tombol Remove from Whitelist di bagian bawah daftar untuk melakukan pembatalan batch.

        image

    Ignore

    Penting

    • "Ignore" hanyalah operasi manajemen status. Operasi ini tidak menyelesaikan masalah keamanan mendasar yang memicu peringatan.

    • Gunakan opsi ini hanya setelah Anda benar-benar memastikan bahwa peringatan tersebut merupakan positif palsu atau risiko yang diketahui dan dapat diterima untuk menghindari penyamaran serangan nyata.

    • Kami menyarankan agar Anda secara berkala meninjau daftar peringatan "Ignored", misalnya setiap minggu atau bulan.

    • Kasus penggunaan umum

      • Dikonfirmasi sebagai positif palsu atau prioritas rendah.

      • Masalah sementara/Diketahui: Masalah yang ditunjukkan oleh peringatan memang ada tetapi merupakan risiko yang diketahui dan dapat diterima, atau merupakan kondisi sementara yang tidak berbahaya, seperti pengujian penetrasi internal yang sah atau perilaku tidak normal selama jendela pemeliharaan tertentu. Anda tidak berniat atau tidak dapat segera memperbaiki akar penyebabnya tetapi perlu membersihkan daftar peringatan saat ini.

      • Lingkungan uji atau debug: Di lingkungan non-produksi, seperti lingkungan pengembangan atau pengujian, peringatan yang diharapkan dan tidak memengaruhi keamanan sering muncul. Peringatan ini mengganggu pemantauan normal dan perlu diredam sementara.

    • Deskripsi hasil

      • Untuk peringatan saat ini: Peringatan ini ditandai sebagai "Handled", dan status peringatan berubah menjadi Ignored.

      • Untuk peringatan berikutnya: Operasi ini tidak berpengaruh. Pusat Keamanan akan menghasilkan peringatan baru jika event jenis yang sama terjadi lagi.

    • Batalkan ignore

      1. Masuk ke . Di panel navigasi sebelah kiri, pilih Detection and Response > Alert.

        Catatan

        Jika Anda telah membeli layanan Cloud Threat Detection and Response (CTDR), di panel navigasi sebelah kiri, pilih Cloud Threat Detection and Response > Alert.

      2. Di tab CWPP, atur filter Handled or Not menjadi Handled.

      3. Temukan data peringatan yang ingin Anda hentikan pengabaian statusnya lalu klik tombol Cancel Ignore di kolom Actions untuk membatalkan status ignore untuk peringatan saat ini.

        Catatan

        Anda juga dapat memilih beberapa item data peringatan lalu mengklik tombol Cancel Ignore di bagian bawah daftar untuk melakukan pembatalan batch.

    Do Not Intercept Rule

    • Kasus penggunaan

      Metode ini saat ini hanya mendukung penanganan peringatan yang dihasilkan oleh aturan Adaptive WebShell Communication Block. Anda dapat menemukan aturan tersebut di Protection Configuration > Host Protection > Host-specific Rule Management di bawah Malicious Behavior Defense > System Defense Rule.

    • Deskripsi

      Sistem tidak memblokir permintaan ke URI yang sesuai dan tidak lagi menghasilkan peringatan.

    Defense Without Notification

    Peringatan

    Anda tidak akan diberi notifikasi terpisah untuk peringatan identik berikutnya. Gunakan opsi ini dengan hati-hati.

    • Kasus penggunaan

      Metode ini digunakan untuk peringatan jenis Precise Defense. Peringatan ini dihasilkan oleh aturan di Protection Configuration > Host Protection > Host-specific Rule Management di bawah Malicious Behavior Defense.

    • Deskripsi

      • Peringatan saat ini: Peringatan ini ditandai sebagai "Handled".

      • Peringatan berikutnya: Ketika aturan pertahanan yang sama dipicu lagi, event peringatan yang dihasilkan secara otomatis dipindahkan ke daftar yang ditangani, dan tidak ada notifikasi peringatan yang dikirim.

    • Batalkan aturan Defend without notification

      1. Masuk ke . Di panel navigasi sebelah kiri, pilih Detection and Response > Alert.

        Catatan

        Jika Anda telah membeli layanan Cloud Threat Detection and Response (CTDR), di panel navigasi sebelah kiri, pilih Cloud Threat Detection and Response > Alert.

      2. Di pojok kanan atas tab CWPP, klik Cloud Workload Alert Management dan pilih Alert Settings.

      3. Di halaman Alert Settings, di bagian Alert Handling Rule, atur Metode Penanganan menjadi Defense Without Notification.

      4. Temukan aturan yang dituju lalu klik Delete di kolom Actions untuk membatalkan aturan daftar putih otomatis.

    Jika Anda telah menangani peringatan secara manual, pilih Manually Handled. Status peringatan saat ini diperbarui menjadi Manually Handled.

    Kasus penggunaan

    Metode ini hanya mendukung penanganan peringatan Security Center agent is abnormally offline.

    Deskripsi

    Program diagnostik klien Pusat Keamanan mengumpulkan data terkait klien di mesin lokal, seperti data jaringan, proses, dan log, lalu melaporkan data tersebut ke Pusat Keamanan untuk dianalisis.

    Penting

    Pemeriksaan ini mengonsumsi sumber daya CPU dan memori tertentu. Gunakan fitur ini hanya setelah evaluasi hati-hati.

    • Pilih mode diagnostik:

      • Standard Mode

        Mode ini mengumpulkan data log terkait klien dan melaporkan data tersebut ke Pusat Keamanan untuk dianalisis.

      • Enhancement Mode

        Mode ini mengumpulkan data terkait klien, seperti data jaringan, proses, dan log, lalu melaporkan data tersebut ke Pusat Keamanan untuk dianalisis.

    • Setelah Anda mengklik Handle Now, tugas diagnostik dihasilkan. Anda dapat melihat hasil dan progres tugas diagnostik di Assets > Host di pojok kanan atas di bawah Agent Task Management. Untuk informasi lebih lanjut, lihat Client troubleshooting.

      Catatan

      • Jika solusi disediakan di kolom Result, ikuti solusi yang direkomendasikan.

      • Jika tidak ada solusi yang disediakan di kolom Result, klik Download Diagnostic Logs di kolom Actions. Berikan log diagnostik yang diekspor dan ID akun Alibaba Cloud Anda kepada dukungan teknis untuk analisis lebih lanjut.

    Tutorial cara menangani peringatan virus umum

    Penguatan keamanan dan pencegahan serangan

    • Tingkatkan Pusat Keamanan: Edisi Enterprise dan Ultimate mendukung isolasi virus otomatis untuk memberikan pertahanan presisi dan mencakup lebih banyak item pemeriksaan keamanan.

    • Perketat kontrol akses: Buka hanya port layanan yang diperlukan, seperti 80 dan 443. Konfigurasikan daftar putih alamat IP yang ketat untuk port manajemen, seperti 22 dan 3389, serta untuk port database, seperti 3306.

      Catatan

      Untuk server ECS Alibaba Cloud, lihat Manage Security Groups.

    • Tetapkan password server yang kompleks: Buat password kompleks yang berisi huruf kapital, huruf kecil, angka, dan karakter khusus untuk server dan aplikasi Anda.

    • Perbarui perangkat lunak: Segera perbarui aplikasi Anda ke versi resmi terbaru. Hindari menggunakan versi lama yang tidak lagi dipelihara atau yang memiliki kerentanan keamanan yang diketahui.

    • Lakukan pencadangan berkala: Buat kebijakan snapshot periodik untuk data penting dan disk sistem.

      Catatan

      Jika Anda menggunakan server ECS Alibaba Cloud, lihat Create an automatic snapshot policy.

    • Perbaiki kerentanan segera: Secara berkala gunakan fitur Vulnerability Fix di Pusat Keamanan untuk memperbaiki kerentanan sistem dan aplikasi penting.

    • Reset sistem server (gunakan dengan hati-hati).

      Jika virus menginfeksi sistem secara mendalam dan terkait dengan komponen sistem dasar, kami sangat menyarankan agar Anda mencadangkan data penting lalu mereset sistem server. Anda dapat melakukan langkah-langkah berikut:

      1. Buat snapshot untuk mencadangkan data penting di server. Untuk informasi lebih lanjut, lihat Create a snapshot.

      2. Inisialisasi ulang sistem operasi server. Untuk informasi lebih lanjut, lihat Reinitialize a system disk.

      3. Buat disk dari snapshot. Untuk informasi lebih lanjut, lihat Create a data disk from a snapshot.

      4. Pasang disk ke server tempat Anda menginstal ulang sistem operasi. Untuk informasi lebih lanjut, lihat Attach a data disk.

    FAQ

    Masalah penanganan peringatan

    • Apa yang harus saya lakukan jika peringatan muncul kembali setelah ditangani (terinfeksi virus yang sama berulang kali)?

      • Masalah ini dapat muncul kembali karena alasan berikut:

        • Password lemah: Password SSH, RDP, atau database terlalu sederhana.

        • Kerentanan belum diperbaiki: Aplikasi seperti Redis, XXL-JOB, dan WebLogic memiliki kerentanan berisiko tinggi.

        • Pintu belakang laten: Pembersihan awal tidak tuntas, sehingga meninggalkan pintu belakang yang tersembunyi.

        • Kontaminasi data: Cadangan atau snapshot yang berisi virus dipulihkan.

      • Solusi:

        • Lakukan penguatan keamanan dengan mengikuti petunjuk di Security hardening and attack prevention.

        • Setelah menangani virus, kami menyarankan agar Anda mencadangkan data lalu me-restart server dan aplikasi.

          Peringatan

          • Me-restart server menyebabkan gangguan layanan singkat. Selama periode ini, situs web, aplikasi, dan layanan lain yang berjalan di server tidak dapat diakses. Hal ini dapat memengaruhi pengalaman pengguna atau kelangsungan proses bisnis. Lakukan operasi ini selama jam sepi.

          • Beberapa aplikasi yang ditempatkan di server tidak memiliki mekanisme startup otomatis atau bergantung pada variabel lingkungan tertentu. Aplikasi tersebut biasanya perlu di-restart secara manual. Jika tidak, layanan aplikasi menjadi tidak tersedia. Misalnya, hal ini berlaku untuk versi tertentu dari antrian pesan. Evaluasi rencana restart terlebih dahulu.

        • Jika masalah tetap berlanjut setelah restart, cadangkan data lalu reset sistem server.

          Bagaimana cara mereset sistem server?

          1. Buat snapshot untuk mencadangkan data penting di server. Untuk informasi lebih lanjut, lihat Create a snapshot.

          2. Inisialisasi ulang sistem operasi server. Untuk informasi lebih lanjut, lihat Reinitialize a system disk.

          3. Buat disk dari snapshot. Untuk informasi lebih lanjut, lihat Create a data disk from a snapshot.

          4. Pasang disk ke server tempat Anda menginstal ulang sistem operasi. Untuk informasi lebih lanjut, lihat Attach a data disk.

    • Mengapa saya tidak dapat menghapus file virus (trojan, penambangan)?

      File dan direktori induknya telah diberi izin tersembunyi. Anda harus menggunakan perintah chattr -i untuk menghapus izin 'i' dari file dan direktori induknya sebelum dapat menghapus file tersebut.

    • Server saya memiliki peringatan trojan DDoS. Saya telah menghapus file secara manual, tetapi peringatan tetap muncul. Mengapa?

      File tersebut tidak sepenuhnya dihapus. Anda dapat menggunakan solusi berikut:

      1. Jika Anda menggunakan Edisi Gratis Pusat Keamanan, Anda dapat mengaktifkan uji coba gratis 7 hari untuk Edisi Enterprise atau Ultimate. Anda juga dapat merujuk ke Purchase Security Center dan meningkatkan ke Edisi Anti-virus atau Enterprise.

      2. Setelah diaktifkan, buka antarmuka penanganan peringatan keamanan, temukan peringatan DDoS Trojan, klik tombol Handle, lalu pilih Virus scan. Sistem secara otomatis menghentikan proses trojan dan mengkarantina file tersebut. Untuk informasi lebih lanjut, lihat Virus scan.

    Masalah fitur konsol

    • Apa yang harus saya lakukan jika peringatan menunjukkan bahwa file tidak ada?

      Hal ini dapat terjadi karena virus telah dihapus dengan metode lain atau telah menghapus jejaknya sendiri. Anda dapat mengklik Ignore atau Manually Handled di daftar peringatan untuk menghapus peringatan ini.

    • Saya menerima peringatan keamanan, tetapi tidak ada data terkait di konsol. Mengapa?

      1. Periksa edisi Pusat Keamanan Anda saat ini. Edisi Gratis memiliki fitur terbatas. Kami menyarankan agar Anda merujuk ke Purchase Security Center dan meningkatkan ke Edisi Anti-virus atau Enterprise.

      2. Gunakan fitur virus scan untuk memindai dan menangani peringatan.

    • Bagaimana cara menangani beberapa peringatan (penanganan batch peringatan)?

      Saat ini, Pusat Keamanan hanya mendukung penanganan batch peringatan keamanan untuk tindakan berikut: daftar putih, mengabaikan, menghapus dari daftar putih, dan membatalkan ignore.

      1. Di panel navigasi sebelah kiri, pilih Detection and Response > Alert. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda ditempatkan: Chinese Mainland atau Outside Chinese Mainland. Buka daftar peringatan keamanan lalu pilih peringatan yang ingin Anda tangani secara batch.

      2. Klik tombol Ignore Once, Add to Whitelist, Remove from Whitelist, atau Cancel Ignore.

    • Mengapa tombol handle peringatan keamanan berwarna abu-abu?

      • Periksa edisi Pusat Keamanan Anda saat ini. Edisi Gratis tidak mendukung penanganan peringatan keamanan. Anda dapat mengaktifkan uji coba gratis 7 hari atau meningkatkan ke Edisi Anti-virus atau Enterprise. Untuk informasi lebih lanjut, lihat Purchase Security Center.

      • Jenis peringatan keamanan yang didukung oleh setiap edisi berbeda-beda. Untuk informasi lebih lanjut, lihat Security alert types.