全部產品
Search
文件中心

Security Center:查看和處理安全警示

更新時間:Mar 29, 2025

為了您的資產安全,建議您及時查看和處理Security Center檢測出的安全警示。本文介紹如何查看和處理安全警示。

查看安全警示

  1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

  2. 在左側導覽列,選擇檢測響應 > 安全警示

    說明

    如果您已開通威脅分析與響應服務,左側導覽列入口將變更為威脅分析與響應 > 安全警示

  3. 安全警示頁面雲工作負載保護平台(CWPP)頁簽,查看安全警示。

    快速篩選警示

    Security Center提供多種搜尋組件,方便您快速篩選出需要查詢的警示。

    • 通過資產類型篩選警示

      旗艦版支援該操作,其他版本均不支援。在警示列表上方,單擊全部主机容器k8s雲產品,查看對應資產類型的警示。

    • 通過警示列表上方提供的緊急程度是否已处理等組件篩選。

      例如,您可以將搜尋條件是否已处理設定為已處理,狀態設定為拦截成功,查看由Security Center為您自動攔截的常見網路病毒。

    • 通過警示列表左側的警示類型攻擊階段菜單篩選。

      攻擊階段展示了病毒攻擊的不同階段,您可以通過警示名稱列的攻擊階區段標記擷取當前伺服器受到病毒攻擊的階段,協助您快速掌握資產的安全狀態。

    查看警示詳情

    單擊警示名稱或者在警示的操作列單擊詳情,開啟警示的詳情頁面。在警示詳情頁面,您可以查看警示的基礎資訊、受影響資產、事件說明等資訊,並結合AI警示分析對警示資訊的詳細說明,判斷並處理警示。

    說明

    不同警示詳情頁面展示的資訊不同,請以實際頁面顯示為準。

    • 查看受影響資產

      單擊受影響資產名稱,可跳轉到對應資產的詳情頁面,方便您集中查看該資產的全部警示資訊、漏洞資訊、基準檢查漏洞和資產指紋等資訊。

    • 查看警示原因

      事件说明地區,查看警示出現的原因和處置建議。

    警示攻擊溯源

    說明
    • 僅受影響伺服器綁定了企業版和旗艦版授權時支援該功能。

    • Security Center會在檢測到威脅後10分鐘,產生自動化攻擊溯源的鏈路。建議您在警示發生10分鐘後,再查看該警示相關的攻擊溯源資訊。

    • 安全警示觸發後超過3個月,該警示的自動化攻擊溯源資訊將被自動清除。請您及時查看警示事件的攻擊溯源資訊。

    Security Center支援自動化攻擊溯源,可對攻擊事件進行自動化溯源並提供未經處理資料預覽。攻擊溯源功能結合多種雲產品日誌,通過巨量資料分析引擎對資料進行加工、彙總、可視化,形成攻擊者入侵的鏈路圖,協助您在最短時間內定位入侵原因和制定應急策略。攻擊溯源適用於雲環境下的Web入侵、蠕蟲事件、勒索病毒、主動串連惡意下載源等情境的應急響應與溯源。

    在警示列表中定位到需要進行警示攻擊溯源的警示,在警示名稱列單擊溯源image.png表徵圖,或單擊警示操作列的詳情,在溯源地區查看溯源可視圖。在溯源可視圖中,單擊各個節點,您可以查看該節點的相關資訊;單擊AI分析,查看溯源可視圖的詳細說明。

    image

    查看沙箱檢測

    Security Center提供了沙箱檢測能力,通過在一個安全隔離的環境中運行檔案,分析靜態和動態檔案行為資料,協助您安全地運行可疑的應用程式,檢測檔案的可疑行為。當產生警示時,您可以通過沙箱檢測結果輔助處置惡意程式。

    說明

    僅部分惡意軟體警示支援沙箱檢測功能,請以實際頁面顯示為準。

    1. 在安全警示列表,找到目標安全警示,在操作列單擊詳情

    2. 沙箱地區,查看沙箱檢測的結果。

    查看事件調查

    事件調查是入侵調查的工作平台,通過可視化調查駭客攻擊過程,定位攻擊源IP,分析入侵原因,助力您快速掌握入侵影響面,進行安全強化。

    您可以在警示列表中的警示名稱列,單擊事件調查表徵圖表徵圖跳轉至事件調查頁面。

    說明
    • 警示名稱列標記已防禦,表示病毒檔案的惡意進程已被Security Center即時攔截,當前已無法對您的業務造成危害,建議您儘快隔離相應病毒檔案。

    • 警示名稱列標記strict 模式,表示伺服器的警示檢測為strict 模式strict 模式下,Security Center會檢測出更多的可疑行為警示,但會存在一定的誤判風險。更多資訊,請參見主機防護設定

處理安全警示

重要

如果您通過威脅分析與響應的安全事件處置功能處理了由Security Center警示彙總而成的事件,Security Center會自動更新雲工作負載保護平台(CWPP)頁簽下相關警示的狀態,無需您手動進行警示狀態更新。

  1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

  2. 在左側導覽列,選擇檢測響應 > 安全警示

    說明

    如果您已開通威脅分析與響應服務,左側導覽列入口將變更為威脅分析與響應 > 安全警示

  3. 安全警示頁面雲工作負載保護平台(CWPP)頁簽定位到目標警示,在操作列單擊處理,選擇警示的處理方式,然後單擊立即處理

    說明
    • 不同類型警示支援的處理方式不同,請以控制台頁面顯示為準。

    • 您可以根據實際需要填寫備忘資訊,備忘可填寫處置警示的原因和操作人,以方便您管理已處理警示。

    處理方式

    說明

    病毒查殺

    選擇病毒查殺,您可以選擇關閉該病毒的進程並隔離源檔案,病毒樣本被隔離後,將無法對業務產生危害。

    如果您確認該警示資訊有效,可以手動選擇以下選項進行處理:

    • 結束該進程的運行:直接結束該進程的運行。

    • 結束進程並隔離源檔案:將病毒檔案加入查看和恢複隔離檔案,被隔離的檔案將無法對伺服器造成安全威脅。

      警告
      • 如果業務相關檔案被加入了惡意程式碼片段,則該檔案被隔離可能會影響業務正常運行。建議您在執行隔離操作前,確保被隔離檔案對業務的影響是可控的。

      • 被成功隔離的檔案在30天內可執行一鍵恢複,恢複的檔案將重新回到安全警示列表中,由Security Center繼續對該檔案進行監測。檔案隔離30天后Security Center會自動清除該檔案。

    加白名單

    如果警示為誤判,您可以將本次警示加入白名單,並設定加入白名單的規則。例如,在處理滲透工具利用行為的警示時,選擇加白名單後,您設定了命令列包含aa的加白規則,則該警示狀態將變為已處理,後續Security Center不會再對命令列包含aa的滲透工具利用行為進行警示。您可以在已處理警示列表中定位到該事件對其進行取消白名單的操作。

    說明
    • 加白名單操作僅對當前警示和您設定的白名單規則進行加白。執行加入白名單操作後,針對您加入白名單的事件和設定的白名單規則,Security Center都不會再產生對應的安全警示。Security Center支援加入白名單的對象詳情,請參見安全警示可以將哪些對象加入白名單

    • 警示誤判是指系統對正常程式進行警示。常見的警示誤判有對外異常TCP發包可疑進程,提示您伺服器上有進程在對其他裝置發起了疑似掃描行為。

    忽略

    選擇忽略,該警示狀態將更新為已忽略,當相同警示再次發生時,Security Center將再次警示。

    說明

    如果您已確認一個或多個警示事件需要忽略或為誤判,可在安全警示處理頁面的警示事件列表中,選中一個或多個警示事件,單擊列表下方的忽略本次加白名單進行處理。

    深度查殺

    深度查殺由Security Center安全專家團隊經過對該持久化、頑固型病毒進行深度分析、測試後,推出的專項查殺能力,該操作可能存在風險,您可以單擊該功能下的查看詳情,查看並確認待清除列表資訊。該處理方式還提供建立快照功能,您還可以通過建立快照備份資料,以便深度查殺清除有用資料時,可以通過快照恢複被清除資料。

    隔離

    選擇隔離,網站後門檔案將被隔離到檔案隔離箱,將無法對業務產生危害。

    警告
    • 如果業務相關檔案被加入了惡意程式碼片段,則該檔案被隔離可能會影響業務正常運行。建議您在執行隔離操作前,確保被隔離檔案對業務的影響是可控的。

    • 被成功隔離的檔案在30天內可執行一鍵恢複,恢複的檔案將重新回到安全警示列表中,由Security Center繼續對該檔案進行監測。檔案隔離30天后Security Center會自動清除該檔案。

    阻斷

    選擇阻斷,Security Center將產生安全性群組防禦規則,您需要配置規則有效期間,攔截該惡意IP的訪問。

    結束進程

    Security Center將嘗試結束該進程的運行。

    問題排查

    選擇問題排查,Security Center的用戶端問題診斷程式將在本機採集與用戶端相關的網路、進程、日誌等資料上報Security Center進行分析,檢查期間會佔用一定的CPU和記憶體。

    問題排查支援以下兩種模式:

    • 常規模式

      常規模式將收集用戶端相關日誌資料上報至Security Center進行分析。

    • 增強模式

      增強模式將採集與用戶端相關的網路、進程、日誌等資料上報Security Center進行分析。

    我已手工處理

    您已處理了導致該警示事件的風險問題。

    同時處理相同警示

    對多個警示事件進行批量處理。批量處理警示事件前,請詳細瞭解警示事件的資訊。

    不再攔截此規則

    如果您無需攔截來自命中攔截規則的請求URI的請求,可以選擇不再攔截此規則。選擇不再攔截此規則後,系統將不攔截對應URI的請求,不再產生警示。

    僅防禦不通知

    當再次發生相同警示時,警示事件將自動進入已處理列表中,不再進行警示通知,請謹慎操作。

    關閉觸發警示的防禦規則

    關閉惡意行為防護後,系統將停止該條自動化防禦規則能力,請謹慎操作。

    警示事件處理完成後,警示事件的狀態將從未處理變為已處理。

查看安全警示統計資料

Security Center對您已開啟的警示防禦能力提供總覽資料,協助您快速瞭解安全警示概況、已開啟和未開啟的防禦專案。您可以查看安全警示和已開啟的防禦專案的統計資訊。

  1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

  2. 在左側導覽列,選擇檢測響應 > 安全警示

    說明

    如果您已開通威脅分析與響應服務,左側導覽列入口將變更為威脅分析與響應 > 安全警示

  3. 安全警示頁面雲工作負載保護平台(CWPP)頁簽上方,查看警示統計資料。

    統計項

    說明

    相關操作

    存在告警的服务器

    展示資產中存在警示的伺服器數量。

    單擊相應數值,跳轉到主機資產頁面,查看已檢測出安全警示的伺服器的詳細資料。

    急需处理的告警

    展示資產中風險等級為紧急的待處理警示事件的數量。

    單擊相應數值,自動為您篩選出對應的警示事件,方便您集中查看和處理風險等級為紧急的警示事件資訊。

    說明

    建議您優先處理紧急狀態的警示事件。

    待處理警示總數

    展示資產中未處理警示的總數量。

    雲工作負載保護平台(CWPP)頁簽,您可以查看預設展示的所有待處理警示資訊。更多資訊,請參見查看和處理安全警示

    精準防禦

    展示資產中被惡意主機行為防禦功能自動攔截的病毒警示的數量。

    單擊相應數值,自動為您篩選出對應的警示事件,方便您集中查看被惡意主機行為防禦功能自動攔截的所有病毒警示資訊。

    說明

    病毒被自動攔截表示Security Center已成功攔截該病毒,無需您手動進行處理。

    生效IP拦截策略/全部策略

    • 生效IP攔截策略:展示啟用防暴力破解規則後攔截的記錄數量。

    • 全部策略:展示Security Center所有的防暴力破解規則攔截的記錄數量。

    單擊相應數值,自動延伸IP规则策略库面板,方便您集中查看已啟用或全部的IP攔截策略。IP攔截策略的更多資訊,請參見主機規則管理

    已隔离文件数

    展示您對安全警示事件進行隔離處理後,隔離威脅檔案的數量。

    單擊相應數值,自動延伸檔隔離框面板,方便您集中查看被隔離的檔案資訊。病毒樣本檔案被隔離後,將無法對業務產生危害。更多資訊,請參見查看和恢複隔離檔案

匯出警示資料

Security Center支援根據緊急程度、是否已處理、發生時間、資產分組、警示名稱等條件式篩選並匯出安全警示資料。

  1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

  2. 在左側導覽列,選擇檢測響應 > 安全警示

    說明

    如果您已開通威脅分析與響應服務,左側導覽列入口將變更為威脅分析與響應 > 安全警示

  3. 安全警示頁面雲工作負載保護平台(CWPP)頁簽,篩選需要匯出的警示資料。

    篩選資料後,Security Center會匯出您篩選後的警示資料。

    image

  4. 在警示列表右上方,單擊image表徵圖。

  5. 等待資料匯出完成後,在當前頁面右上方匯出完成對話方塊中單擊下載,將警示資料下載到本地。

查看已歸檔的警示資料

在警示資料大於100條時,Security Center會自動歸檔30天前已處理的警示資料,不會歸檔未處理的警示資料。已歸檔的資料將無法在Security Center控制台查看。如需查看已歸檔的警示資料,您可以將歸檔資料下載到本地。

  1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

  2. 在左側導覽列,選擇檢測響應 > 安全警示

    說明

    如果您已開通威脅分析與響應服務,左側導覽列入口將變更為威脅分析與響應 > 安全警示

  3. 安全警示頁面右上方,單擊雲工作負載警示管理 > 归档数据

  4. 归档数据對話方塊,查看已歸檔的資料。

  5. 在已歸檔資料的下载链接列單擊下載,將歸檔資料下載到本地。

    歸檔資料的檔案格式為XLSX。歸檔資料下載時間依賴於網路頻寬和檔案大小,一般需要2~5分鐘。

    下載完成後,您可以在歸檔資料檔案中,查看歷史警示的警示ID、警示名稱、警示詳情、警示等級、狀態、影響資產、影響資產備忘名稱、影響概況和警示發生時間。

    說明

    警示狀態為已經到期,說明在發生警示後的30天內,您未對該警示做任何處理。建議您及時對Security Center檢測到的安全警示事件進行處理。

查看和恢複隔離檔案

Security Center可對檢測到的威脅檔案進行隔離處理,被成功隔離的檔案會添加到檔案隔離箱中,Security Center將在隔離30天后自動清除被隔離檔案。如果您確定被隔離的檔案無安全風險,您可以在檔案被隔離後30天內,一鍵恢複被隔離的檔案。

  1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

  2. 在左側導覽列,選擇檢測響應 > 安全警示

    說明

    如果您已開通威脅分析與響應服務,左側導覽列入口將變更為威脅分析與響應 > 安全警示

  3. 安全警示頁面右上方,單擊雲工作負載警示管理 > 檔隔離框

  4. 檔隔離框面板,查看被隔離的檔案或恢複被隔離的檔案。

    • 在檔案隔離箱列表中可以查看被隔離檔案所屬的主機、路徑、狀態和修改時間資訊。

    • 在待恢複檔案的操作列單擊復原,可以將指定的被隔離檔案從檔案隔離箱中移除。恢複的檔案將重新顯示在安全警示列表。

相關文檔

  • 可通過開啟惡意主機行為防禦、網站後門串連防禦等開關,自動攔截主機側的病毒。開啟此類功能的具體操作,請參見主機防護設定

  • 可通過開啟容器K8s威脅檢測、容器防逃逸開關,開啟容器叢集異常容器防逃逸類型警示的檢測,具體操作,請參見容器防護設定

  • 管理您資產中的Web目錄、設定警示白名單規則的具體操作,請參見安全警示設定