為了您的資產安全,建議您及時查看和處理Security Center檢測出的安全警示。本文介紹如何查看和處理安全警示。
查看安全警示
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇 。
說明如果您已開通威脅分析與響應服務,左側導覽列入口將變更為
。在
頁面雲工作負載保護平台(CWPP)頁簽,查看安全警示。說明警示名稱列標記已防禦,表示病毒檔案的惡意進程已被Security Center即時攔截,當前已無法對您的業務造成危害,建議您儘快隔離相應病毒檔案。
警示名稱列標記strict 模式,表示伺服器的警示檢測為strict 模式。strict 模式下,Security Center會檢測出更多的可疑行為警示,但會存在一定的誤判風險。更多資訊,請參見主機防護設定。
處理安全警示
如果您通過威脅分析與響應的安全事件處置功能處理了由Security Center警示彙總而成的事件,Security Center會自動更新雲工作負載保護平台(CWPP)頁簽下相關警示的狀態,無需您手動進行警示狀態更新。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇 。
說明如果您已開通威脅分析與響應服務,左側導覽列入口將變更為
。在安全警示頁面雲工作負載保護平台(CWPP)頁簽定位到目標警示,在操作列單擊處理,選擇警示的處理方式,然後單擊立即處理。
說明不同類型警示支援的處理方式不同,請以控制台頁面顯示為準。
您可以根據實際需要填寫備忘資訊,備忘可填寫處置警示的原因和操作人,以方便您管理已處理警示。
處理方式
說明
病毒查殺
選擇病毒查殺,您可以選擇關閉該病毒的進程並隔離源檔案,病毒樣本被隔離後,將無法對業務產生危害。
如果您確認該警示資訊有效,可以手動選擇以下選項進行處理:
結束該進程的運行:直接結束該進程的運行。
結束進程並隔離源檔案:將病毒檔案加入查看和恢複隔離檔案,被隔離的檔案將無法對伺服器造成安全威脅。
警告如果業務相關檔案被加入了惡意程式碼片段,則該檔案被隔離可能會影響業務正常運行。建議您在執行隔離操作前,確保被隔離檔案對業務的影響是可控的。
被成功隔離的檔案在30天內可執行一鍵恢複,恢複的檔案將重新回到安全警示列表中,由Security Center繼續對該檔案進行監測。檔案隔離30天后Security Center會自動清除該檔案。
加白名單
如果警示為誤判,您可以將本次警示加入白名單,並設定加入白名單的規則。例如,在處理滲透工具利用行為的警示時,選擇加白名單後,您設定了命令列包含aa的加白規則,則該警示狀態將變為已處理,後續Security Center不會再對命令列包含aa的滲透工具利用行為進行警示。您可以在已處理警示列表中定位到該事件對其進行取消白名單的操作。
說明加白名單操作僅對當前警示和您設定的白名單規則進行加白。執行加入白名單操作後,針對您加入白名單的事件和設定的白名單規則,Security Center都不會再產生對應的安全警示。Security Center支援加入白名單的對象詳情,請參見安全警示可以將哪些對象加入白名單。
警示誤判是指系統對正常程式進行警示。常見的警示誤判有對外異常TCP發包可疑進程,提示您伺服器上有進程在對其他裝置發起了疑似掃描行為。
忽略
選擇忽略,該警示狀態將更新為已忽略,當相同警示再次發生時,Security Center將再次警示。
說明如果您已確認一個或多個警示事件需要忽略或為誤判,可在安全警示處理頁面的警示事件列表中,選中一個或多個警示事件,單擊列表下方的忽略本次或加白名單進行處理。
深度查殺
深度查殺由Security Center安全專家團隊經過對該持久化、頑固型病毒進行深度分析、測試後,推出的專項查殺能力,該操作可能存在風險,您可以單擊該功能下的查看詳情,查看並確認待清除列表資訊。該處理方式還提供建立快照功能,您還可以通過建立快照備份資料,以便深度查殺清除有用資料時,可以通過快照恢複被清除資料。
隔離
選擇隔離,網站後門檔案將被隔離到檔案隔離箱,將無法對業務產生危害。
警告如果業務相關檔案被加入了惡意程式碼片段,則該檔案被隔離可能會影響業務正常運行。建議您在執行隔離操作前,確保被隔離檔案對業務的影響是可控的。
被成功隔離的檔案在30天內可執行一鍵恢複,恢複的檔案將重新回到安全警示列表中,由Security Center繼續對該檔案進行監測。檔案隔離30天后Security Center會自動清除該檔案。
阻斷
選擇阻斷,Security Center將產生安全性群組防禦規則,您需要配置規則有效期間,攔截該惡意IP的訪問。
結束進程
Security Center將嘗試結束該進程的運行。
問題排查
選擇問題排查,Security Center的用戶端問題診斷程式將在本機採集與用戶端相關的網路、進程、日誌等資料上報Security Center進行分析,檢查期間會佔用一定的CPU和記憶體。
問題排查支援以下兩種模式:
常規模式
常規模式將收集用戶端相關日誌資料上報至Security Center進行分析。
增強模式
增強模式將採集與用戶端相關的網路、進程、日誌等資料上報Security Center進行分析。
我已手工處理
您已處理了導致該警示事件的風險問題。
同時處理相同警示
對多個警示事件進行批量處理。批量處理警示事件前,請詳細瞭解警示事件的資訊。
不再攔截此規則
如果您無需攔截來自命中攔截規則的請求URI的請求,可以選擇不再攔截此規則。選擇不再攔截此規則後,系統將不攔截對應URI的請求,不再產生警示。
僅防禦不通知
當再次發生相同警示時,警示事件將自動進入已處理列表中,不再進行警示通知,請謹慎操作。
關閉觸發警示的防禦規則
關閉惡意行為防護後,系統將停止該條自動化防禦規則能力,請謹慎操作。
警示事件處理完成後,警示事件的狀態將從未處理變為已處理。
查看安全警示統計資料
Security Center對您已開啟的警示防禦能力提供總覽資料,協助您快速瞭解安全警示概況、已開啟和未開啟的防禦專案。您可以查看安全警示和已開啟的防禦專案的統計資訊。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇 。
說明如果您已開通威脅分析與響應服務,左側導覽列入口將變更為
。在安全警示頁面雲工作負載保護平台(CWPP)頁簽上方,查看警示統計資料。
統計項
說明
相關操作
存在告警的服务器
展示資產中存在警示的伺服器數量。
單擊相應數值,跳轉到主機資產頁面,查看已檢測出安全警示的伺服器的詳細資料。
急需处理的告警
展示資產中風險等級為紧急的待處理警示事件的數量。
單擊相應數值,自動為您篩選出對應的警示事件,方便您集中查看和處理風險等級為紧急的警示事件資訊。
說明建議您優先處理紧急狀態的警示事件。
待處理警示總數
展示資產中未處理警示的總數量。
在雲工作負載保護平台(CWPP)頁簽,您可以查看預設展示的所有待處理警示資訊。更多資訊,請參見查看和處理安全警示。
精準防禦
展示資產中被惡意主機行為防禦功能自動攔截的病毒警示的數量。
單擊相應數值,自動為您篩選出對應的警示事件,方便您集中查看被惡意主機行為防禦功能自動攔截的所有病毒警示資訊。
說明病毒被自動攔截表示Security Center已成功攔截該病毒,無需您手動進行處理。
生效IP拦截策略/全部策略
生效IP攔截策略:展示啟用防暴力破解規則後攔截的記錄數量。
全部策略:展示Security Center所有的防暴力破解規則攔截的記錄數量。
單擊相應數值,自動延伸IP规则策略库面板,方便您集中查看已啟用或全部的IP攔截策略。IP攔截策略的更多資訊,請參見主機規則管理。
已隔离文件数
展示您對安全警示事件進行隔離處理後,隔離威脅檔案的數量。
單擊相應數值,自動延伸檔隔離框面板,方便您集中查看被隔離的檔案資訊。病毒樣本檔案被隔離後,將無法對業務產生危害。更多資訊,請參見查看和恢複隔離檔案。
匯出警示資料
Security Center支援根據緊急程度、是否已處理、發生時間、資產分組、警示名稱等條件式篩選並匯出安全警示資料。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇 。
說明如果您已開通威脅分析與響應服務,左側導覽列入口將變更為
。在安全警示頁面雲工作負載保護平台(CWPP)頁簽,篩選需要匯出的警示資料。
篩選資料後,Security Center會匯出您篩選後的警示資料。
在警示列表右上方,單擊
表徵圖。
等待資料匯出完成後,在當前頁面右上方匯出完成對話方塊中單擊下載,將警示資料下載到本地。
查看已歸檔的警示資料
在警示資料大於100條時,Security Center會自動歸檔30天前已處理的警示資料,不會歸檔未處理的警示資料。已歸檔的資料將無法在Security Center控制台查看。如需查看已歸檔的警示資料,您可以將歸檔資料下載到本地。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇 。
說明如果您已開通威脅分析與響應服務,左側導覽列入口將變更為
。在安全警示頁面右上方,單擊
。在归档数据對話方塊,查看已歸檔的資料。
在已歸檔資料的下载链接列單擊下載,將歸檔資料下載到本地。
歸檔資料的檔案格式為XLSX。歸檔資料下載時間依賴於網路頻寬和檔案大小,一般需要2~5分鐘。
下載完成後,您可以在歸檔資料檔案中,查看歷史警示的警示ID、警示名稱、警示詳情、警示等級、狀態、影響資產、影響資產備忘名稱、影響概況和警示發生時間。
說明警示狀態為已經到期,說明在發生警示後的30天內,您未對該警示做任何處理。建議您及時對Security Center檢測到的安全警示事件進行處理。
查看和恢複隔離檔案
Security Center可對檢測到的威脅檔案進行隔離處理,被成功隔離的檔案會添加到檔案隔離箱中,Security Center將在隔離30天后自動清除被隔離檔案。如果您確定被隔離的檔案無安全風險,您可以在檔案被隔離後30天內,一鍵恢複被隔離的檔案。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇 。
說明如果您已開通威脅分析與響應服務,左側導覽列入口將變更為
。在安全警示頁面右上方,單擊
。在
面板,查看被隔離的檔案或恢複被隔離的檔案。在檔案隔離箱列表中可以查看被隔離檔案所屬的主機、路徑、狀態和修改時間資訊。
在待恢複檔案的操作列單擊復原,可以將指定的被隔離檔案從檔案隔離箱中移除。恢複的檔案將重新顯示在安全警示列表。