云蜜罐部署后,云蜜罐会诱捕您服务器在云内外受到的真实攻击,并将攻击数据生成告警事件展示在云蜜罐页面。为了您的服务器的安全,建议您及时查看和处理告警事件。本文介绍如何查看和处理告警事件。

查看告警事件

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择威胁检测 > 云蜜罐
  3. 在云蜜罐页面查看告警事件。
    云蜜罐页面分为总览和告警列表两个区域。
    • 总览

      在总览区域,您可以查看管理节点健康状态已授权探针数量未使用探针数量已部署主机探针数量等信息。

      当您的云蜜罐探针数量不足时,您可以单击升级配置,购买足够的云蜜罐探针数量。

    • 告警列表

      在告警列表区域,您可以查看云蜜罐诱捕的黑客攻击所产生的安全告警事件的详细信息。包括告警事件的风险等级风险概述攻击来源等信息。

      单击目标告警事件操作列的查看日志,进入事件日志,可以查看该告警事件相关的详细的日志记录列表。单击目标日志操作列的详情,可查看日志详情,包括攻击事件的基础信息攻击时间线,进一步了解攻击事件的详细信息。

处理告警事件

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择威胁检测 > 云蜜罐
  3. 处理告警事件。
    您可以通过查看告警事件,根据告警事件详情选择合适的方式处理告警事件。
    • 加入白名单
      注意 将告警事件处理方式设置为加白名单后,与该告警事件相同的攻击信息将不会在产生告警事件上显示在告警事件列表,为了您的资产安全,请您谨慎操作。
      如果通过查看告警事件详情,确认该告警事件为正常的业务,您可以单击告警事件操作列的处理,处置方式选择加白名单
      说明 将告警事件加入白名单后,如果后续业务中,您想再次上报该告警事件,您可以在已处理的告警事件列表中,单击目标告警事件操作列的处理,对告警事件执行取消白名单的操作。
    • 标记为已处理

      如果通过查看告警事件详情,确认该告警事件为黑客攻击行为,您需要对您的服务器或VPC中对存在的安全风险进行加固。加固完成后,您可以单击该告警事件操作列的处理,处置方式选择标记为已处理