全部產品
Search

搜尋本產品

    Security Center:評估及處理安全事件-CTDR(威脅分析與響應)

    文件中心

    Security Center:評估及處理安全事件-CTDR(威脅分析與響應)

    更新時間:Jan 06, 2026

    處置安全事件需要先進行影響面評估、攻擊面分析,識別誤判並及時止血。可對安全事件使用推薦處置策略、更新時間狀態、加白、運行劇本等操作,保障的系統安全及正常運行。

    安全事件處理流程

    image

    安全事件處置評估

    在處理安全事件前,需對事件進行影響面評估、攻擊面分析,識別誤判,避免影響系統的正常運行。可通過安全事件的詳情頁,擷取事件資訊以此輔助進行判斷。

    進入事件詳情頁

    1. 登入Security Center控制台

    2. 在左側導覽列,選擇威脅分析與響應 > 安全事件處置

    3. 選擇需查看的事件的發生時間範圍,定位至目標安全事件。

      重要

      • 安全事件處置頁面僅支援查看180天內的事件。

      • 可在系統設定 > 通知設定開啟事件相關通知,可根據收到的事件相關資訊,如事件名稱快速定位目標事件。

    4. 單擊操作列詳情按鈕,進入事件詳情頁。

    評估方法及樣本

    評估事件可通過事件概覽資訊、時間軸資訊,安全警示實體資訊來評估事件的緊急度、覆蓋度、是否誤判。

    概覽地區

    介紹該事件的基本資料及ATT&CK攻擊階段。可根據該地區受影響資產數、關聯警示數、發生時間、警示來源等資料資訊,來評估該安全事件的是否需要處理。

    評估樣本

    • 受影響資產數:若受影響資產數量較多,且涉及核心業務資產,如資料庫伺服器、應用伺服器等,說明事件可能造成較大影響,需要優先處理。

    • 關聯警示數:關聯警示數量越多,意味著事件的波及範圍可能越廣,潛在風險越大。

    • 發生時間:近期發生的事件,由於可能仍在持續造成影響,相比歷史事件更需要及時處理。

    • 警示來源:不同來源的警示可信度和嚴重程度可能不同,來自權威檢測模組的警示,如專門的病毒查殺模組,其對應的事件危險性越高。

    時間軸

    在該頁簽查看攻擊時間軸和溯源圖。通過巨量資料分析引擎對資料進行加工、彙總、可視化,形成的事件發生鏈路圖,在最短的時間內定位事件發生原因並制定事件處理策略。查看詳情步驟如下:

    1. 點擊image進入全螢幕模式;

    2. 單擊事件中的節點,查看對應節點的詳細資料。

    可結合時間軸來評估該安全事件的是否需要處理的,評估樣本如下

    • 若時間軸顯示在短時間內,從初始的一個小範圍試探性攻擊警示,迅速演變為多個不同類型且關聯緊密的攻擊警示,攻擊節奏不斷加快,涉及的資產範圍也在持續擴大,那麼該安全事件危險性就很高,建議立即處理。

    • 如果時間軸中相關警示在較長時間內沒有新增,且攻擊行為沒有進一步擴散的跡象,處理優先順序相對可以降低。

    安全警示

    在該頁簽查看彙總成該事件的所有安全警示列表。通過多維度警示統計資料(包括警示數量、防禦措施、發生時間等),擷取更多資訊,以判斷該攻擊使用的方法、攻擊所處階段並決定相應的處理方案,評估樣本如下

    • 若同一類型或相關聯的警示數量較多,可能意味著攻擊規模較大或威脅較為嚴重。

    • 防禦措施方面,瞭解已採取的防禦手段是否有效阻擋攻擊,若防禦措施失效或不足以應對,事件處理的緊迫性就會提升。

    • 近期安全警示發生時間集中某一個時間段,可能意味著在此時間範圍內,攻擊正處於活躍階段。

    實體

    展示該事件中抽取到的實體物件,支援展示的實體類型包括主機、檔案、進程、IP地址和主機賬戶等。可以通過以下維度查看並管理實體:

    • 全部實體:展示該事件中抽取到的所有實體。支援查看最近30天關聯事件數目、關聯警示數、關聯處置任務數、運行劇本等操作。

    • 受影響資產:展示受該事件影響的資產,方便對資產受影響面進行快速評估。

    結合影響的實體,來評估該安全事件的是否需要處理的,評估樣本如下

    • 在實體詳情查看IP地址實體的基礎資訊、阿里雲威脅情報、近30天關聯的事件、近30天關聯的警示和關聯的處置任務。若數量很多,可能表明攻擊者正在持續利用某個IP進行攻擊,需要針對這個IP做處理,例如封鎖IP。

    • 受影響資產頁簽,如果多個資產在同一時間段內遭受來自同一IP的攻擊,這可能表明存在針對特定IP的攻擊行為,需要針對這個IP做處理,例如封鎖IP。

    響應活動

    響應活動全面記錄了事件調查、風險分析及響應處置的全過程,並提供關鍵處置策略和任務、活動紀錄的管理入口,以便團隊內人員在事中協作時共用調查過程和處理資訊。事後對事件活動過程進行複盤總結,積累寶貴經驗。

    響應安全事件

    處置安全事件

    處理方案

    處理說明

    使用推薦處置策略

    • Security Center基於阿里雲安全專家經驗總結出的事件處置方法,統稱為推薦處置策略。

    • 使用推薦處置策略處理安全事件中的惡意實體後,可同步變更事件狀態及事件關聯的警示。

    說明

    使用推薦處置策略面板為空白,則表示當前實體沒有內建的處置策略。

    加白/警示加白

    • 警示加白:將確認無害的程式、IP 或行為加入白名單,使其不再觸發警示。

      重要

      警示加白僅支援CWPP警示(即主機和容器警示)。

    • 加白(自動響應規則):再次發生相同警示,警示狀態更新為“加白”,且不再關聯到安全事件。

    運行劇本

    Security Center基於阿里雲安全專家經驗,為警示實體提供了一批內建的劇本,用於使用者處理惡意實體。如主機離線排查、深度查殺病毒、聯動WAF封鎖IP等。

    更新事件狀態

    • 若事件判斷為誤判或已手動處理完全部的安全警示、實體,可將事件狀態變更為已處理

    • 針對已經處理過的事件,也可將事件重設為未處理處理中

    自動處理安全事件

    威脅分析與響應提供的響應編排功能,自動批量處理安全威脅事件。

    使用推薦處置策略

    操作步驟

    1. 進入事件詳情頁,在實體頁簽單擊使用推薦處置策略按鈕。

      說明

      安全事件處置首頁,針對目標事件,單擊操作響應下拉選項,也可選擇使用推薦處置策略

    2. 使用推薦處置策略面板,選中需處置的惡意實體。

    3. 修改處置策略(可選):單擊對應實體操作列的編輯,在编辑策略面板,修改封鎖規則下發的目標帳號、動作時效等參數。

      • 動作實效:該處置策略生效的時間,超過時間將自動失效。

      • 目標賬戶:當前賬戶及可管理的成員帳號,如何管理成員帳號請參見多帳號安全管理

    4. 單擊確定,並更新事件狀態。在更新事件狀態對話方塊,選擇事件狀態處理中已處理,單擊確定

      重要

      完成該步驟操作後,Security Center將自動建立處置策略並執行處置任務,如果處置任務執行失敗,事件狀態將更新為處理失敗。否則,事件狀態將更新為在此處設定的狀態。

      • 處理中:表示除當前的處置操作外,還存在其他與事件處置相關的動作,例如止血、溯源、修複漏洞等。

      • 已處理:除了當前的處置操作之外,沒有其他後續的處置相關動作。影響如下:

        • 更新關聯警示狀態為“已在安全事件處置”。

        • 後續警示會產生新的安全事件,不再關聯至當前事件。

    操作影響

    • 聯動阿里雲雲產品進行事件響應,對惡意實體進行處理,例如封鎖IP等。

    • 使用推薦處置策略變更事件狀態為已處理時,系統會將該事件關聯的所有未處理警示的狀態統一更新為已在安全事件處置,並在警示詳情備忘了安全事件操作相關資訊。此後,新產生的警示將不再關聯至當前安全事件,而是產生新的安全事件。

      重要

      CWPP“精準防禦”類警示,警示狀態預設為“已處理”(僅防禦不通知),安全事件狀態更新不會影響此類警示狀態。

    • 使用推薦處置策略變更事件狀態為處理中,關聯的警示狀態不變,仍支援後續警示關聯至當前事件。

    加白名單

    通過安全事件處置對安全警示進行加白處理,包含加白(自動響應規則)或警示加白兩種方式,系統面對正常程式警示,如對外異常 TCP 發包可疑進程實為正常業務互動、疑似掃描行為實為正常網路檢測等,加白名單操作能有效避免Security Center對正常程式或行為重複警示。

    差異點

    加白(自動響應規則)

    警示加白

    支援處理的警示

    所有警示。

    雲工作負載(CWPP)警示。

    當前警示影響

    無影響。

    • 當前警示狀態變為手動加白

    • 當相同警示再次發生,不會再產生警示資料,但會更新本次警示的最新發生時間。

    規則機制

    • 利用響應編排的能力,建立自動響應規則,完成警示過濾。

    • 加白條件必填,其中加白欄位來源於警示特徵欄位和警示抽取出來的實體屬性欄位。

    加白條件非必填,其中加白欄位來源於當前安全警示相關資訊欄位,例如警示產生的規則、標籤、鏡像名等。

    說明

    可在警示詳情頁更多資訊地區查看。

    警示加白

    操作步驟

    1. 進入事件詳情頁,在安全警示頁簽選擇需要處理的安全警示,單擊操作列的警示加白

    2. 建立警示加白規則(可選):可單擊+新增規則,配置多條加白規則。

      重要

      • 多條規則之間是“OR”的關係,滿足任何一條即進行加白處理。

      • 配置規則時要保證精準性,避免範圍過寬。比如設定 “路徑包含:/data/” 可能誤將其他敏感子目錄納入白名單,增加安全風險。​​

      每一條規則從左至右一共4個配置框,說明如下:

      1. 警示資訊欄位:可在詳情頁的更多資訊中,查看當前警示支援哪些警示資訊欄位。

      2. 條件類型:支援正則匹配、大於、等於、小於、包含等操作。部分規則說明如下:

        • Regex:通過Regex可精準匹配特定模式的內容。例如,要對 “/data/app/logs/” 檔案夾下所有內容加白,可設定規則 “路徑匹配正則:^/data/app/logs/.$”,能匹配該檔案夾及子目錄下的所有檔案或進程。​

        • 包含關鍵詞:設定 “路徑包含:D:\programs\test\” 的規則,所有路徑中包含該檔案夾的事件都會被納入白名單。

      3. 條件值:支援常量、Regex。

      4. 適用資產:

        • 全部資產:對新增資產及已經接入的所有資產生效。

        • 僅針對當前資產:僅對當前警示涉及的資產有效。

    3. 單擊確定

    操作影響

    警告

    警示加白後相同的或符合加白規則的警示不再推送警示通知,請謹慎操作。

    • 對當前警示

      • 本次警示變為 “已處理”,警示狀態是手動加白。​

      • 當相同警示再次發生,不會再產生警示資料,但會更新本次警示的最新發生時間。

        什麼是相同警示?

        相同警示是指警示特徵高度一致的安全威脅。例如:

        • 病毒類的警示:相同的資產+相同的病毒檔案路徑+相同的病毒檔案MD5。

        • 異常登入:相同的資產+相同的登入IP。

    • 對後續警示

      • 若設定了特定加白規則,若Security Center後續不會再將符合該白名單規則的警示關聯至安全事件

      • 符合定製加白規則的警示再次發生時,該警示將自動進入已處理列表中,狀態為自動加白,並且不再進行警示通知。

    • 其他警示:加白規則僅對設定的警示名稱且合格警示生效,不影響其他未設定規則的警示。​

    取消加白

    • 取消自動加白規則

      重要

      • 只對後續產生的警示有影響,不再自動為符合加白規則的警示加白。

      • 對已經處理過的警示無影響,警示狀態無變化。

      1. 登入,在左側導覽列,選擇檢測響應 > 安全警示

        說明

        若您購買了威脅分析與響應(CTDR)服務,請在左側導覽列,選擇威脅分析與響應 > 安全警示

      2. 單擊雲工作負載保護平台(CWPP)頁簽右上方的雲工作負載警示管理,選擇設置

      3. 設置頁的警示處置規則地區,處理方式選擇自動加白

      4. 定位至目標規則,單擊操作列的刪除,即可取消自動加白規則。

    • 取消警示加白

      重要

      取消後的警示會重新出現在未處理的警示列表中,需要您再次評估和處理。

      1. 需登入,在左側導覽列,選擇檢測響應 > 安全警示

        說明

        若您購買了威脅分析與響應(CTDR)服務,請在左側導覽列,選擇威脅分析與響應 > 安全警示

      2. 雲工作負載保護平台(CWPP)頁簽,將是否已處理的篩選條件至為已處理

      3. 定位至需要取消加白的警示資料,點擊操作列取消加白按鈕,即可取消當前警示的加白。

        說明

        也可同時勾選多個警示資料後,單擊列表底部的取消加白按鈕,實現批量取消加白。

      image

    加白(自動響應規則)

    操作步驟

    1. 安全事件處置列表,單擊目標事件操作列的響應加白

      說明

      也可在事件詳情頁,單擊右上方事件響應下的加白按鈕或在安全警示頁簽,單擊安全警示操作列的加白

    2. 參照如下說明配置規則後,單擊確定

      • 规则名称:為規則設定一個清晰、易於理解的名稱,例如“事件處置加白_後門shell”。

      • 觸發方式:預設警示觸發,不可修改。

      • 規則動作:預設警示加白,不可修改。

      • 其他配置:請參考配置觸發及執行規則

    操作影響

    • 當前事件:事件狀態不變。若需要變更,需手動執行更新事件狀態操作。

    • 對當前警示:無影響。​

    • 對後續警示:針對符合加白規則(自動響應規則)的警示,變化如下:

      • 若為CWPP警示則警示狀態自動更新為“自動加白”,若為CTDR警示則是否加白欄位更新為,且都不再進行警示通知。

      • 符合加白規則(自動響應規則)的警示不再關聯至當前事件。

    取消加白策略

    若想要取消加白策略,允許後續警示繼續關聯或產生新事件。請參考如下步驟:

    說明

    事件加白請前往威脅分析與響應 > 安全事件處置頁面,在右上方的事件加白設定中操作。

    1. 請前往威脅分析與響應 > 響應編排自動響應規則頁簽

    2. 定位至目標規則,關閉啟用狀態開關。

    3. 單擊操作列的刪除

    運行劇本

    操作步驟

    1. 進入事件詳情頁,在實體頁簽定位至需要處理的實體。

    2. 單擊操作列的運行劇本,在運行劇本配置頁,參照如下說明配置劇本參數。

      • 劇本:系統將根據當前實體的類型,自動拉取對應的內建劇本。

        重要

        若內建劇本無法滿足需求,可使用威脅分析與響應提供的響應編排功能,使用其能力建立自訂劇本。

      • 動作時效:該劇本已耗用時間,超過時間劇本將不再執行。

      • 目標賬戶:當前賬戶及可管理的成員帳號,如何管理成員帳號請參見多帳號安全管理

    3. 單擊確定

    操作影響

    根據劇本內配置的流程完成事件處理(如封鎖IP等),並變更事件狀態為已處理。

    更新事件狀態

    操作步驟

    1. 在事件詳情頁單擊右上方事件響應下拉項更新事件狀態。或在安全事件列表頁定位至目標事件後,單擊操作列響應下拉項更新事件狀態

    2. 更新事件狀態彈窗中,選擇已處理未處理處理中

    3. 填寫備忘(可選):如我已手動處理、忽略、手動加白、重新處理等資訊

    操作影響

    • 若更新狀態為已處理

      • 事件關聯的所有未處理狀態的警示,統一更新警示狀態為已在安全事件處置,並在警示詳情備忘了安全事件操作相關資訊。

        重要

        CWPP“精準防禦”類警示,警示狀態預設為“已處理”(僅防禦不通知),安全事件狀態更新不會影響此類警示狀態。

      • 後續警示不再關聯至當前安全事件,會產生新安全事件。

    • 若更新狀態為未處理處理中:當前事件可重新選擇理方式。

    自動處理安全事件

    若想實現自動化處理安全事件,可使用威脅分析與響應提供的響應編排功能,通過配置劇本和自動化響應規則,自動批量處理安全威脅事件。具體操作,請參見響應編排

    管理事件屬性

    管理操作

    操作說明

    更新責任人

    安全事件的處置往往需要跨團隊、跨成員協作。為了實現清晰的任務流轉,可以在事件處理的不同階段手動指派或變更責任人。

    更新事件等級

    調整事件風險評估等級,在事件評估過程中,如果發現系統自動評定的風險等級與實際情況不符(過高或過低),可以手動修改事件等級。這有助於團隊準確地調整響應優先順序,確保資源被合理分配到最緊急的事件上。

    更新責任人

    操作步驟

    1. 進入事件詳情頁,單擊右上方事件響應下的更新責任人。或在安全事件列表頁定位至目標事件後,單擊操作列響應下拉項更新責任人

    2. 在彈窗中,填寫以下資訊後,單擊確定

      • 責任人:可選當前帳號下和其帳號下的RAM使用者。

        重要

        請確保目標責任人RAM使用者)已被授予處理安全事件的必要許可權。

      • 備忘:填寫交接說明、處理建議或注意事項,以便新責任人快速瞭解背景並開展工作。

    操作影響

    操作成功後,系統會自動產生一條變更記錄。可在事件詳情頁響應活動頁簽下中的活動紀錄查看到本次責任人變更的詳細資料。

    更新事件等級

    操作步驟

    1. 進入事件詳情頁,單擊右上方事件響應下的更新事件等級。或在安全事件列表頁定位至目標事件後,單擊操作列響應下拉項更新事件等級

    2. 在彈窗中修改事件等級備忘

    操作影響

    等級變更後,該操作將被記錄在事件的活動紀錄中,可在事件詳情頁響應活動頁簽下的活動紀錄下查到此變更的詳細資料。

    匯出安全事件

    可以將安全事件詳情以Excel表格形式匯出到本地,便於跨部門協作處理安全事件,並提高內部資訊共用與事件追蹤的效率。

    1. (可選)在安全事件處置列表頁設定事件風險等級、狀態、發生時間等過濾條件。

    2. 勾選需要下載的安全事件(最多1,000條),單擊安全事件列表右上方image.png表徵圖。

    3. 待檔案匯出完成後,單擊下載,將檔案下載到本地。

      說明

      匯出的檔案包含3個標籤頁,分別為安全事件記錄列表、安全事件涉及的資產列表、安全事件涉及的實體列表。

    風險防範

    為防範伺服器後續再次遭受病毒攻擊,建議對伺服器實施必要的加固措施,以此加大攻擊者的入侵代價,提高其突破防禦的門檻。

    • 升級Security Center版本:企業版和旗艦版支援病毒自動隔離(即病毒自動查殺)功能為您提供精準防禦能力,支援更多的安全檢測項。

    • 收緊存取控制:僅開放必要的業務連接埠(如80、443),對管理連接埠(如22、3389)和資料庫連接埠(如3306)配置嚴格的IP白名單存取原則。

      說明

      若是阿里雲 ECS伺服器可參見管理安全性群組進行操作。

    • 設定複雜伺服器密碼:為伺服器和應用設定包含大小寫字母、數字和特殊符號的複雜密碼。

    • 升級軟體:請及時將應用軟體更新至官方最新版本,避免使用已停止維護或存在已知安全性漏洞的舊版本。

    • 定期備份:對重要資料和伺服器系統硬碟建立定期快照策略。

      說明

      若是阿里雲 ECS伺服器可參見建立自動快照策略進行操作。

    • 及時修複漏洞:定期使用Security Center漏洞修複功能及時修補系統高危漏洞和應用漏洞。

    • 重設伺服器系統(謹慎選擇)

      如果破壞入侵較深,關聯到系統底層組件,強烈建議您在備份重要資料後,重設伺服器的系統。具體操作步驟如下:

      1. 建立快照備份伺服器上的重要資料。具體操作,請參見建立快照

      2. 初始化伺服器的作業系統。具體操作,請參見重新初始化系統硬碟(重設作業系統)

      3. 使用快照產生雲端硬碟。具體操作,請參見使用快照建立資料盤

      4. 掛載雲端硬碟到重裝系統後的伺服器上。具體操作,請參見掛載資料盤

    配額與限制

    • 資料保留:安全事件處置頁面僅支援查看和處理最近180天內的事件。

    • 實體詳情:在實體的詳情頁中,其關聯的事件、警示和處置任務數量僅統計最近30天的資料。

    • 匯出數量:單次最多支援匯出1,000條安全事件記錄。

    • 狀態同步:更新安全事件的狀態不會影響CWPP“精準防禦”類警示的狀態,此類警示預設為“已處理”(僅防禦不通知)。