Security Center在檢測到資產入侵、被植入惡意軟體或異常行為時會產生安全警示。及時並正確地處理警示是保障業務穩定和資料安全的關鍵。本文介紹如何遵循應急響應流程,快速評估風險、清除威脅並加固系統。
安全警示處置評估
在處理安全事件前,需對警示進行影響面評估、攻擊分析,識別誤判,避免影響系統的正常運行。可通過安全警示的詳情頁,擷取警示資訊以此輔助進行判斷。
進入警示詳情頁
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
說明如果已開通Agentic SOC服務,左側導覽列入口將變更為。
在雲工作負載保護平台(CWPP)頁簽,定位置至目標警示,單擊操作列詳情。
重要可在開啟警示相關通知,根據收到的警示相關資訊,如警示名稱快速定位目標警示。
旗艦版支援按資產類型篩選警示,在警示列表上方,單擊全部、主機、容器、K8s或雲產品,查看對應資產類型的警示。
警示詳情解析
可通過警示攻擊溯源、警示說明等資訊,擷取警示的判定依據、發生次數,可能引起的原因等資訊,輔助判斷當前警示是否為誤判,並給出處理方案。
警示說明
警示說明用於提示系統監測到的異常情況,告知潛在風險,說明異常特徵及關聯威脅,同時提供處置建議。
評估樣本:
如上圖所示:
提示風險後果:修改相關設定檔,留下登入後門。
處置建議:找業務部門確認當前進程是否是正常業務情境,若不是則優先結束當前進程,後續排查系統是否存在其他的威脅。
警示溯源
Security Center提供自動化攻擊溯源功能, 它整合多種雲產品日誌,通過巨量資料分析產生可視化入侵鏈路圖,並支援未經處理資料預覽。該功能協助您快速定位入侵原因並制定應急策略。
僅綁定了企业版、旗艦版授權或主機全面防護、主機及容器全面防護的伺服器支援該功能。
Security Center會在檢測到威脅後10分鐘,產生自動化攻擊溯源的鏈路。建議您在警示發生10分鐘後,再查看該警示相關的攻擊溯源資訊。
安全警示觸發後超過3個月,該警示的自動化攻擊溯源資訊將被自動清除。請您及時查看警示事件的攻擊溯源資訊。
適用情境:
攻擊溯源適用於雲環境下的Web入侵、蠕蟲事件、勒索病毒、主動串連惡意下載源等情境的應急響應與溯源。
評估樣本:
在詳情頁溯來源區域,查看攻擊鏈是否完整有效。攻擊鏈路越完整,越需要儘快處理該警示。
單擊溯源圖中的節點,在左側節點詳情地區,查看是否達成攻擊目標。例如:
檢查終端行為: 攻擊者在伺服器上執行了命令(如
whoami、net user)。檢查資料泄露: 有異常外連行為(串連礦池、C2伺服器)或敏感檔案讀取/上傳。
檢查持久化痕迹: 建立了後門賬戶、計劃任務或惡意服務。
單擊溯源圖中的節點,在左側節點詳情地區,查看原始日誌是否可驗證(如WAF攔截記錄、主機處理序建立日誌、網路連接日誌)。
可驗證:存在底層日誌佐證(如WAF攔截記錄、主機執行惡意命令的進程日誌),證明攻擊確實發生,若已被攔截則可標記為“已處理”,無需處理警示。若沒被攔截需要儘快處理。
不可驗證: 無日誌支撐(可能遭遇日誌被刪除、繞過檢測等),此情境需高度警惕,可能是進階攻擊痕迹。
沙箱檢測
Security Center提供了沙箱檢測能力,通過在一個安全隔離的環境中運行檔案,分析靜態和動態檔案行為資料,協助您安全地運行可疑的應用程式,檢測檔案的可疑行為。當產生警示時,您可以通過沙箱檢測結果輔助處置惡意程式。
僅部分惡意軟體警示支援沙箱檢測功能,請以實際頁面顯示為準。
在安全警示列表,找到目標安全警示,在操作列單擊詳情。
在沙箱地區,查看沙箱檢測的結果。
評估樣本:
行為標籤:可對入侵檔案進行特徵打標,標記入侵檔案引起的高危操作(紅色為最需要注意的入侵行為)。
ATT&CK矩陣:顯示沙箱檢測運行時的流程經過,並標記入侵檔案引起的高危操作(紅色為最需要注意的入侵行為)。
警示處理快速指引
警示類型 | 警示名稱 | 推薦處理方式 |
惡意軟體 | 挖礦程式 | |
DDoS木馬 | ||
木馬程式 | ||
惡意程式 | ||
漏洞利用程式 | ||
可疑Powershell 指令 | ||
後門程式 | ||
反彈Shell後門 | ||
感染型病毒 | ||
異常登入 | 惡意IP登入 | |
ECS暴力破解成功 | ||
ECS非常用帳號登入 | ||
ECS在非常用地登入 | ||
後門賬戶登入 | ||
網站後門 | 發現後門(Webshell)檔案 | |
包含WEBSHELL代碼的日誌/圖片檔案 | ||
發現掛馬盜鏈後門檔案 | ||
發現任意檔案寫入後門 | ||
進程異常行為 | Java 應用執行異常指令 | |
可疑的進程路徑 | ||
網路代理程式轉寄行為 | ||
可疑 Powershell 指令 | ||
持久化後門建立行為 | ||
SSH後門 | ||
可疑編碼命令 | ||
可疑命令執行 | ||
惡意指令碼 | 惡意指令碼代碼執行 | |
精準防禦 | 對抗安全軟體 | |
雲產品威脅檢測 | RAM子帳號異地登入 |
|
駭客工具利用AK | ||
異常的角色許可權遍曆行為 | ||
RAM使用者登入控制台執行敏感操作 | ||
其他 | Security Center用戶端異常離線 |
手動處理警示
如果通過安全事件處置功能處理了由Security Center警示彙總而成的事件,Security Center會自動更新雲工作負載保護平台(CWPP)頁簽下相關警示的狀態,無需手動進行警示狀態更新。
操作步驟
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
說明如果已開通Agentic SOC服務,左側導覽列入口將變更為。
在安全警示頁面雲工作負載保護平台(CWPP)頁簽定位到目標警示,在操作列單擊處理,選擇警示的處理方式,然後單擊立即處理。
說明不同類型警示支援的處理方式不同,請以控制台頁面顯示為準。
可以根據實際需要填寫備忘資訊,備忘可填寫處置警示的原因和操作人,方便管理已處理警示。
處理方式詳解
處理方式可分為以下幾類:
威脅清除:直接移除和阻斷已知安全威脅,修複感染,防止新的攻擊、封堵威脅來源,保護資產安全
警示免打擾:用於處理誤判、已知或可接受風險,通過加白、忽略等方式標記“本次警示為無效或無需處理”,並可控制後續是否繼續警示。
問題排查:排查Security Center用戶端自身異常,輔助診斷。
威脅清除
病毒查殺
常見使用情境
確認惡意活動:當Security Center檢測到病毒、木馬、勒索軟體等惡意進程正在運行,且需立即阻斷其對系統的危害時。
應急響應需求:需快速遏制病毒傳播或資料泄露風險,避免威脅擴散至其他伺服器。
前置檢查
病毒查殺可能存在服務中斷風險為避免影響正常業務,建議您在執行處理前,對源檔案進行檢查,常見檢查點如下:
驗證檔案屬性:通過檔案路徑、簽名、雜湊值確認是否為病毒(避免誤殺系統/業務檔案)。
業務依賴評估:檢查該檔案是否被關鍵服務調用(如
nginx、mysql相關組件)。
處理說明
立即終止病毒進程並將病毒檔案移至隔離區,隔離後的檔案無法執行、訪問或傳播。
警告結束進程可能造成依賴該進程的服務異常(如病毒偽裝成合法進程)。
若被隔離檔案是被植入惡意代碼的業務檔案(如核心應用組件),隔離可能導致服務中斷。
被成功隔離的檔案在30天內可執行一鍵恢複,恢複的檔案將重新回到安全警示列表中,由Security Center繼續對該檔案進行監測。具體的恢複操作請參見查看和恢複隔離檔案。
說明未在30天內恢複的檔案將被自動清除,不可找回。
後續處理
定期審查隔離區:30天內確認檔案性質,避免誤刪後無法恢複。如何查看隔離區檔案請參見查看和恢複隔離檔案。
深度查殺
深度查殺由Security Center安全專家團隊經過對該持久化、頑固型病毒進行深度分析、測試後,推出的專項查殺能力。
常見使用情境
深度查殺是針對頑固型、感染型病毒的專項解決方案。這類病毒的特徵是:
感染宿主檔案: 病毒會注入系統檔案、應用程式檔案或您的個人文檔中,使其成為病毒的一部分。
難以根除: 普通的病毒查殺僅刪除病毒母體,但無法修複已被感染的檔案,導致問題反覆出現。
說明如果您遇到的不是此類病毒,請優先使用常規的“病毒查殺”功能。
前置檢查
深度查殺可能存在誤刪檔案風險、服務中斷風險、資料完整性風險,為避免影響正常業務,建議您在執行處理前,對源檔案進行檢查,常見檢查點如下:
驗證檔案屬性:通過檔案路徑、簽名、雜湊值確認是否為病毒(避免誤殺系統/業務檔案)。
業務依賴評估:檢查該檔案是否被關鍵服務調用(如
nginx、mysql相關組件)。
處理說明
通過查殺惡意病毒進程、隔離惡意檔案和清除病毒木馬的持久化駐留項等手段清理頑固性病毒。
此外提供建立快照功能,您還可以通過建立快照備份資料,以便深度查殺清除有用資料時,可以通過快照恢複被清除資料。
重要建立和保留快照會產生費用,費用由快照產品收取,預設採用隨用隨付(後付費)模式,可通過售前諮詢瞭解費用情況。
後續處理
定期審查隔離區:30天內確認檔案性質,避免誤刪後無法恢複。如何查看隔離區檔案請參見查看和恢複隔離檔案。
分離
結束進程
常見使用情境
多用於處理進程異常行為類型的警示,例如MySQL執行異常指令、WEB漏洞利用攻擊導致異常指令執行。
處理說明
Security Center將嘗試結束該進程的運行,若執行失敗,可嘗試手動終止進程
kill 進程號,然後選擇“已手工處理”處理方式。說明進程號可在警示詳情頁-更多資訊中查看。
阻斷
常見使用情境
多用於異常登入,暴力破解等IP攻擊情境。
處理說明
會產生安全性群組防禦規則,攔截惡意IP的訪問。
可單擊詳情,查看產生的防禦規則基本資料。如有效資產、規則方向、連接埠範圍、規則方向。
Security Center會根據用戶端安裝情況自動選擇攔截機制,支援的攔截機制如下:
雲安全中心:優先使用Security Center外掛程式攔截登入行為。在Security Center執行個體為進階版、企業版或旗艦版且開啟了恶意网络行为防御開關時,Security Center會自動選擇該外掛程式。開啟恶意网络行为防御開關的具體操作,請參見主動防禦。
ECS安全性群組:該攔截規則啟用時會在安全性群組中自動建立相應規則,該攔截規則到期或禁用後會自動刪除該規則。
規則有效期即攔截規則的實效時間,預設為6小時,不可更改。
產生的攔截規則可前往中防暴力破解頁簽中系統規則中查看。
說明若需要提前終止攔截策略,可在系統規則中關閉啟用開關。
警示免打擾
Security Center主要通過加白名单、忽略方式實現警示免打擾,針對特定警示還支援不再攔截此規則、僅防禦不通知、已手工處理。
加白名单和忽略的區別
差異點 | 加白名单 | 忽略 |
適用情境 | 永久性例外問題 | 適用於臨時性、偶發性的誤判或已知問題。 |
影響範圍 |
| 僅針對當前警示進行處理,對後續警示無影響。 |
加白名單後,相同警示和符合加白規則的警示,均不再通知,請謹慎選擇。
常見使用情境
當前警示為誤判,或添加一個永久性例外規則。如對外異常 TCP 發包可疑進程實為正常業務互動、疑似掃描行為實為正常網路檢測等,此時需設定加白規則來規避此類誤判。
處理結果說明
對當前警示
本次警示變為 “已處理”,警示狀態是手動加白。
當相同警示再次發生,不會再產生警示資料,但會更新本次警示的最新發生時間。
對後續警示
若設定了特定加白規則,符合定製加白規則的警示再次發生時,該警示將自動進入已處理列表中,狀態為自動加白,並且不再進行警示通知。
設定特定加白規則(可選)
在警示處理彈窗,單擊加白名单頁簽。單擊+新增規則新增一條規則。單擊
可刪除一條規則。重要設定多條規則時,規則之間為“OR”關係,滿足任何一條即進行加白處理。
配置規則時要保證精準性,避免範圍過寬。比如設定 “路徑包含:/data/” 可能誤將其他敏感子目錄納入白名單,增加安全風險。
每一條規則從左至右一共4個配置框,說明如下:
警示資訊欄位:可在詳情頁的更多資訊中,查看當前警示支援哪些警示資訊欄位。
條件類型:支援正則匹配、大於、等於、小於、包含等操作。部分規則說明如下:
Regex:通過Regex可精準匹配特定模式的內容。例如,要對 “/data/app/logs/” 檔案夾下所有內容加白,可設定規則 “路徑匹配正則:^/data/app/logs/.$”,能匹配該檔案夾及子目錄下的所有檔案或進程。
包含關鍵詞:設定 “路徑包含:D:\programs\test\” 的規則,所有路徑中包含該檔案夾的事件都會被納入白名單。
條件值:支援常量、Regex。
適用資產:
全部資產:對新增資產及已經接入的所有資產生效。
僅針對當前資產:僅對當前警示涉及的資產有效。
取消加白
取消自動加白規則
重要只對後續產生的警示有影響,不再自動為符合加白規則的警示加白。
對已經處理過的警示無影響,警示狀態無變化。
登入,在左側導覽列,選擇。
說明若您購買了Agentic SOC服務,請在左側導覽列,選擇。
單擊雲工作負載保護平台(CWPP)頁簽右上方的雲工作負載警示管理,選擇設置。
在設置頁的警示處置規則地區,處理方式選擇自動加白。
定位至目標規則,單擊操作列的刪除,即可取消自動加白規則。
取消警示加白
重要取消後的警示會重新出現在未處理的警示列表中,需要您再次評估和處理。
需登入,在左側導覽列,選擇。
說明若您購買了Agentic SOC服務,請在左側導覽列,選擇。
雲工作負載保護平台(CWPP)頁簽,將是否已處理的篩選條件至為已處理。
定位至需要取消加白的警示資料,點擊操作列取消加白按鈕,即可取消當前警示的加白。
說明也可同時勾選多個警示資料後,單擊列表底部的取消加白按鈕,實現批量取消加白。
忽略
“忽略”僅是一種警示狀態管理操作,它本身並不解決觸發警示的根本安全問題。
務必在充分確認是誤判或已知/接受風險後才使用,避免掩蓋真實的攻擊。
建議定期(例如每周或每月)查看“已忽略”狀態的警示列表。
常見使用情境
確認為誤判或優先順序較低。
臨時性/已知問題: 警示指向的問題確實存在,但屬於已知且已接受的風險,或者是一個臨時性、非惡意的狀態(例如,內部授權的滲透測試活動、特定維護視窗期的異常行為),並且您暫時不打算或無法立即修複根本原因,但需要清理當前警示列表
測試或調試環境: 在非生產環境(如開發、測試環境)中,頻繁出現預期內的、不影響安全的警示,幹擾正常監控,需要暫時屏蔽。
處理結果說明
對當前警示:本次警示變為 “已處理”,警示狀態是已忽略。
對後續警示:無影響,對同類型警示再出現時,Security Center將再次警示。
取消忽略
登入,在左側導覽列,選擇。
說明若您購買了Agentic SOC服務,請在左側導覽列,選擇。
雲工作負載保護平台(CWPP)頁簽,將是否已處理的篩選條件至為已處理。
定位至需要取消忽略的警示資料,點擊操作列取消忽略按鈕,即可取消當前警示的忽略狀態。
說明也可同時勾選多個警示資料後,單擊列表底部的取消忽略按鈕,實現批量取消忽略。
不再攔截此規則
適用情境
目前僅支援處理由中恶意行为防御的系统防御规则中自適應WebShell通訊攔截規則產生的警示。
處理說明
系統將不攔截對應URI的請求,不再產生警示。
僅防禦不通知
後續相同警示不再單獨通知,請謹慎選擇。
適用情境
由中恶意行为防御規則產生的警示(警示類型為精準防禦)。
處理說明
當前警示:本次警示變為 “已處理”。
後續警示:當再次命中相同的防禦規則時,產生的警示事件將自動進入已處理列表中,不再進行警示通知。
取消僅防禦不通知規則
登入,在左側導覽列,選擇。
說明若您購買了Agentic SOC服務,請在左側導覽列,選擇。
單擊雲工作負載保護平台(CWPP)頁簽右上方的雲工作負載警示管理,選擇設置。
在設置頁的警示處置規則地區,處理方式選擇僅防禦不通知。
定位至目標規則,單擊操作列的刪除,即可取消自動加白規則。
已手工處理
如果已手動處理當警示,請選擇我已手工处理,當前警示狀態將更新為我已手工处理。
問題排查
適用情境
僅支援處理Security Center用戶端離線異常警示。
處理說明
Security Center的用戶端問題診斷程式將在本機採集與用戶端相關的網路、進程、日誌等資料,並上報Security Center進行分析。
檢查期間會佔用一定的CPU和記憶體,請評估後使用。
選擇問題模式:
常規模式:收集用戶端相關日誌資料上報至Security Center進行分析。
增強模式:採集與用戶端相關的網路、進程、日誌等資料上報Security Center進行分析。
單擊立即處理後,會產生一個診斷任務。可在頁面右上方的安騎士任務管理,查看診斷任務結果及進度。更多內容,可參見用戶端排查。
說明如果在結果列給出解決方案,按照給出的解決方案處理即可。
如果在結果列沒有給出解決方案,請單擊操作列的下載診斷日誌,將匯出的診斷記錄和AliUid提供給相關人員進一步做驗證分析。
常見病毒警示處理實踐教程
安全強化與攻擊預防
升級Security Center版本:企業版和旗艦版支援病毒自動隔離(即病毒自動查殺)功能為您提供精準防禦能力,支援更多的安全檢測項。
收緊存取控制:僅開放必要的業務連接埠(如80、443),對管理連接埠(如22、3389)和資料庫連接埠(如3306)配置嚴格的IP白名單存取原則。
說明若是阿里雲 ECS伺服器可參見管理安全性群組進行操作。
設定複雜伺服器密碼:為伺服器和應用設定包含大小寫字母、數字和特殊符號的複雜密碼。
升級軟體:請及時將應用軟體更新至官方最新版本,避免使用已停止維護或存在已知安全性漏洞的舊版本。
定期備份:對重要資料和伺服器系統硬碟建立定期快照策略。
說明若是阿里雲 ECS伺服器可參見建立自動快照策略進行操作。
及時修複漏洞:定期使用Security Center漏洞修複功能及時修補系統高危漏洞和應用漏洞。
重設伺服器系統(謹慎選擇)。
如果破壞入侵較深,關聯到系統底層組件,強烈建議您在備份重要資料後,重設伺服器的系統。具體操作步驟如下:
建立快照備份伺服器上的重要資料。具體操作,請參見建立快照。
初始化伺服器的作業系統。具體操作,請參見重新初始化系統硬碟(重設作業系統)。
使用快照產生雲端硬碟。具體操作,請參見使用快照建立資料盤。
掛載雲端硬碟到重裝系統後的伺服器上。具體操作,請參見掛載資料盤。
常見問題
警示處理問題
警示處理後又複發(反覆感染同一種病毒)怎麼辦?
處理後複發可能原因如下:
弱口令: SSH/RDP/資料庫密碼過於簡單。
漏洞未修複: Redis, XXL-JOB, WebLogic等應用存在高危漏洞。
後門潛伏: 初次清理不徹底,留下了隱藏的後門。
資料汙染: 恢複了帶有病毒的備份/快照。
處理方案:
可參照安全強化與攻擊預防進行安全強化。
完成病毒處理後,建議備份資料後重啟伺服器及應用。
警告重啟伺服器會造成服務短暫中斷,在此期間依賴該伺服器啟動並執行網站、應用程式等將無法正常訪問,可能影響使用者體驗或商務程序的連續性,請在業務低峰期操作。
部分部署在伺服器上的應用因未配置自動啟動機制或依賴特定環境變數,通常需要手動重新啟動,否則會導致應用服務不可用。例如特定版本的訊息佇列,請提前評估重啟方案。
若重啟後仍然無效,請備份資料後重設伺服器系統。
病毒檔案(木馬、挖礦)刪除不了?
該檔案及父目錄被添加了隱藏許可權。需使用
chattr -i命令解除檔案和父目錄的i許可權後,再進行刪除。伺服器存在DDoS木馬警示,檔案已手動刪除但仍提示?
檔案未刪除乾淨。處理方案:
若您Security Center是免費版本,您可開通天免費試用企業版或旗艦版。或者可參考購買Security Center,升級Security Center版本至防病毒版本或企業版。
開通後在安全警示處理介面,找到“DDoS木馬” ,單擊處理按鈕,選擇病毒查殺。系統將自動結束木馬進程並隔離檔案。更多內容參見病毒查殺。
控制台功能問題
警示顯示檔案不存在怎麼辦?
這可能是因為病毒已被其他方式清除或病毒自身清理了痕迹,可在警示列表中點擊“忽略”或“已手工處理”來清除此條警示。
收到安全警示,但控制台沒有相關的資料?
確認當前Security Center版本:免費版功能有限,建議參考購買Security Center,升級Security Center版本至防病毒版本或企業版。
使用其病毒查殺功能進行掃描和處理。
如何處理成多條警示(批量處理警示)?
目前Security Center僅支援批量加白、忽略、取消加白、取消忽略等方式來處理安全警示。
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。進入安全警示列表,批量勾選選擇需要處理的警示。
單擊左下角忽略一次、加白名单、取消加白、取消忽略按鈕即可。
為何安全警示處理按鈕是灰色的?
請檢查當前Security Center版本,免費版不支援處理安全警示。可開通7天免費試用或者開通防病毒、企業版,詳情參見購買Security Center。
各版本支援檢測的安全警示類型不同,可參見安全警示類型。