云安全中心将关联的安全告警聚合成一个安全事件,以帮助从整体视角理解攻击全貌。通过评估事件影响、执行处置操作以遏制威胁,并加固系统,可防止同类事件再次发生。
安全事件处理流程图
安全事件处置评估
在正式处置前,深入评估事件的严重程度、影响范围以及是否为误报,是制定正确响应策略的关键。
进入事件详情页
登录云安全中心控制台。
在左侧导航栏,选择
说明若购买了威胁分析与响应(CTDR)服务,请在左侧导航栏,选择。
选择需查看的事件的发生时间范围,定位至目标安全事件。
重要安全事件处置页面仅支持查看180天内的事件。
可在开启事件相关通知,可根据收到的事件相关信息,如事件名称快速定位目标事件。
单击操作列详情按钮,进入事件详情页。
评估方法及示例
评估事件可通过事件概览信息、时间线信息,安全告警、实体信息来评估事件的紧急度、覆盖度、是否误报。
概览区域
介绍该事件的基本信息及ATT&CK攻击阶段。可根据该区域受影响资产数、关联告警数、发生时间、告警来源等数据信息,来评估该安全事件的是否需要处理。
评估示例:
受影响资产数:若受影响资产数量较多,且涉及核心业务资产,如数据库服务器、应用服务器等,说明事件可能造成较大影响,需要优先处理。
关联告警数:关联告警数量越多,意味着事件的波及范围可能越广,潜在风险越大。
发生时间:近期发生的事件,由于可能仍在持续造成影响,相比历史事件更需要及时处理。
告警来源:不同来源的告警可信度和严重程度可能不同,来自权威检测模块的告警,如专门的病毒查杀模块,其对应的事件危险性越高。
时间线
在该页签查看攻击时间线和溯源图。通过大数据分析引擎对数据进行加工、聚合、可视化,形成的事件发生链路图,在最短的时间内定位事件发生原因并制定事件处理策略。查看详情步骤如下:
点击
进入全屏模式;单击事件中的节点,查看对应节点的详细信息。
可结合时间线来评估该安全事件的是否需要处理的,评估示例如下:
若时间线显示在短时间内,从初始的一个小范围试探性攻击告警,迅速演变为多个不同类型且关联紧密的攻击告警,攻击节奏不断加快,涉及的资产范围也在持续扩大,那么该安全事件危险性就很高,建议立即处理。
如果时间线中相关告警在较长时间内没有新增,且攻击行为没有进一步扩散的迹象,处理优先级相对可以降低。
安全告警
在该页签查看聚合成该事件的所有安全告警列表。通过多维度的告警统计数据(包括告警数量、防御措施、发生时间等),获取更多信息,以判断该攻击使用的方法、攻击所处阶段并决定相应的处理方案,评估示例如下:
若同一类型或相关联的告警数量较多,可能意味着攻击规模较大或威胁较为严重。
防御措施方面,了解已采取的防御手段是否有效阻挡攻击,若防御措施失效或不足以应对,事件处理的紧迫性就会提升。
近期安全告警发生时间集中某一个时间段,可能意味着在此时间范围内,攻击正处于活跃阶段。
实体
展示该事件中抽取到的实体对象,支持展示的实体类型包括主机、文件、进程、IP地址和主机账户等。可以通过以下维度查看并管理实体:
全部实体:展示该事件中抽取到的所有实体。支持查看最近30天关联事件数、关联告警数、关联处置任务数、运行剧本等操作。
受影响资产:展示受该事件影响的资产,方便对资产受影响面进行快速评估。
结合影响的实体,来评估该安全事件的是否需要处理的,评估示例如下:
在实体详情查看IP地址实体的基础信息、阿里云威胁情报、近30天关联的事件、近30天关联的告警和关联的处置任务。若数量很多,可能表明攻击者正在持续利用某个IP进行攻击,需要针对这个IP做处理,例如封禁IP。
在受影响资产页签,如果多个资产在同一时间段内遭受来自同一IP的攻击,这可能表明存在针对特定IP的攻击行为,需要针对这个IP做处理,例如封禁IP。
响应活动
响应活动全面记录了事件调查、风险分析及响应处置的全过程,并提供关键处置策略和任务、活动日志的管理入口,以便团队内人员在事中协作时共享调查过程和处理信息。事后对事件活动过程进行复盘总结,积累宝贵经验。
响应安全事件
处置安全事件
处理方案 | 处理说明 |
使用推荐处置策略 |
说明 若使用推荐处置策略面板为空,则表示当前实体没有内置的处置策略。 |
告警加白 | 告警加白:将确认无害的程序、IP 或行为加入白名单,使其不再触发告警。 |
运行剧本 | 云安全中心基于阿里云安全专家经验,为告警实体提供了一批内置的剧本,用于用户处理恶意实体。如主机离线排查、深度查杀病毒、联动WAF封禁IP等。 |
更新事件状态 |
|
使用推荐处置策略
操作步骤
进入事件详情页,在实体页签单击使用推荐处置策略按钮。
说明在安全事件处置首页,针对目标事件,单击操作列响应下拉选项,也可选择使用推荐处置策略。
在使用推荐处置策略面板,选中需处置的恶意实体。
修改处置策略(可选):单击对应实体操作列的编辑,在编辑策略面板,修改封禁规则下发的目标账号、动作时效等参数。
动作实效:该处置策略生效的时间,超过时间将自动失效。
目标账户:当前账户及可管理的成员账号,如何管理成员账号请参见多账号安全管理。
单击确定,并更新事件状态。在更新事件状态对话框,选择事件状态为处理中或已处理,单击确定。
重要完成该步骤操作后,云安全中心将自动创建处置策略并执行处置任务,如果处置任务执行失败,事件状态将更新为处理失败。否则,事件状态将更新为在此处设置的状态。
处理中:表示除当前的处置操作外,还存在其他与事件处置相关的动作,例如止血、溯源、修复漏洞等。
已处理:除了当前的处置操作之外,没有其他后续的处置相关动作。影响如下:
更新关联告警状态为“已在安全事件处置”。
后续告警会生成新的安全事件,不再关联至当前事件。
操作影响
联动阿里云云产品进行事件响应,对恶意实体进行处理,例如封禁IP等。
若使用推荐处置策略变更事件状态为已处理时,系统会将该事件关联的所有未处理告警的状态统一更新为已在安全事件处置,并在告警详情备注了安全事件操作相关信息。此后,新产生的告警将不再关联至当前安全事件,而是生成新的安全事件。
重要CWPP“精准防御”类告警,告警状态默认为“已处理”(仅防御不通知),安全事件状态更新不会影响此类告警状态。
若使用推荐处置策略变更事件状态为处理中,关联的告警状态不变,仍支持后续告警关联至当前事件。
告警加白
操作步骤
进入事件详情页,在安全告警页签选择需要处理的安全告警,单击操作列的告警加白。
新建告警加白规则(可选):可单击+新增规则,配置多条加白规则。
重要多条规则之间是“OR”的关系,满足任何一条即进行加白处理。
配置规则时要保证精准性,避免范围过宽。比如设置 “路径包含:/data/” 可能误将其他敏感子目录纳入白名单,增加安全风险。
每一条规则从左到右一共4个配置框,说明如下:
告警信息字段:可在详情页的更多信息中,查看当前告警支持哪些告警信息字段。
条件类型:支持正则匹配、大于、等于、小于、包含等操作。部分规则说明如下:
正则表达式:通过正则表达式可精准匹配特定模式的内容。例如,要对 “/data/app/logs/” 文件夹下所有内容加白,可设置规则 “路径匹配正则:^/data/app/logs/.$”,能匹配该文件夹及子目录下的所有文件或进程。
包含关键词:设置 “路径包含:D:\programs\test\” 的规则,所有路径中包含该文件夹的事件都会被纳入白名单。
条件值:支持常量、正则表达式。
适用资产:
全部资产:对新增资产及已经接入的所有资产生效。
仅针对当前资产:仅对当前告警涉及的资产有效。
单击确定。
操作影响
告警加白后相同的或符合加白规则的告警不再推送告警通知,请谨慎操作。
对当前告警:
本次告警变为 “已处理”,告警状态是手动加白。
当相同告警再次发生,不会再生成告警数据,但会更新本次告警的最新发生时间。
对后续告警:
若设置了特定加白规则,若云安全中心后续不会再将符合该白名单规则的告警关联至安全事件。
符合定制加白规则的告警再次发生时,该告警将自动进入已处理列表中,状态为自动加白,并且不再进行告警通知。
其他告警:加白规则仅对设置的告警名称且符合条件的告警生效,不影响其他未设置规则的告警。
取消加白
取消自动加白规则
重要只对后续产生的告警有影响,不再自动为符合加白规则的告警加白。
对已经处理过的告警无影响,告警状态无变化。
登录,在左侧导航栏,选择。
说明若您购买了威胁分析与响应(CTDR)服务,请在左侧导航栏,选择。
单击云工作负载保护平台(CWPP)页签右上角的云工作负载告警管理,选择安全告警设置。
在安全告警设置页的告警处置规则区域,处理方式选择自动加白。
定位至目标规则,单击操作列的删除,即可取消自动加白规则。
取消告警加白
重要取消后的告警会重新出现在未处理的告警列表中,需要您再次评估和处理。
需登录,在左侧导航栏,选择。
说明若您购买了威胁分析与响应(CTDR)服务,请在左侧导航栏,选择。
云工作负载保护平台(CWPP)页签,将是否已处理的筛选条件至为已处理。
定位至需要取消加白的告警数据,点击操作列取消加白按钮,即可取消当前告警的加白。
说明也可同时勾选多个告警数据后,单击列表底部的取消加白按钮,实现批量取消加白。
运行剧本
操作步骤
操作影响
根据剧本内配置的流程完成事件处理(如封禁IP等),并变更事件状态为已处理。
更新事件状态
操作步骤
在事件详情页单击右上角事件响应下拉项更新事件状态。或在安全事件列表页定位至目标事件后,单击操作列响应下拉项更新事件状态。
在更新事件状态弹窗中,选择已处理、未处理或处理中。
填写备注(可选):如我已手动处理、忽略、手动加白、重新处理等信息
操作影响
若更新状态为已处理。
事件关联的所有未处理状态的告警,统一更新告警状态为已在安全事件处置,并在告警详情备注了安全事件操作相关信息。
重要CWPP“精准防御”类告警,告警状态默认为“已处理”(仅防御不通知),安全事件状态更新不会影响此类告警状态。
后续告警不再关联至当前安全事件,会生成新安全事件。
若更新状态为未处理或处理中:当前事件可重新选择理方式。
管理事件属性
管理操作 | 操作说明 |
更新责任人 | 安全事件的处置往往需要跨团队、跨成员协作。为了实现清晰的任务流转,可以在事件处理的不同阶段手动指派或变更责任人。 |
更新事件等级 | 调整事件风险评估等级,在事件评估过程中,如果发现系统自动评定的风险等级与实际情况不符(过高或过低),可以手动修改事件等级。这有助于团队准确地调整响应优先级,确保资源被合理分配到最紧急的事件上。 |
更新责任人
操作步骤
进入事件详情页,单击右上角事件响应下的更新责任人。或在安全事件列表页定位至目标事件后,单击操作列响应下拉项更新责任人。
在弹窗中,填写以下信息后,单击确定。
责任人:可选当前账号下和其账号下的RAM用户。
重要请确保目标责任人RAM用户)已被授予处理安全事件的必要权限。
备注:填写交接说明、处理建议或注意事项,以便新责任人快速了解背景并开展工作。
操作影响
操作成功后,系统会自动生成一条变更记录。可在事件详情页响应活动页签下中的活动日志查看到本次责任人变更的详细信息。
更新事件等级
操作步骤
进入事件详情页,单击右上角事件响应下的更新事件等级。或在安全事件列表页定位至目标事件后,单击操作列响应下拉项更新事件等级。
在弹窗中修改事件等级和备注。
操作影响
等级变更后,该操作将被记录在事件的活动日志中,可在事件详情页响应活动页签下的活动日志下查到此变更的详细信息。
导出安全事件
可以将安全事件详情以Excel表格形式导出到本地,便于跨部门协作处理安全事件,并提高内部信息共享与事件追踪的效率。
(可选)在安全事件处置列表页设置事件风险等级、状态、发生时间等过滤条件。
勾选需要下载的安全事件(最多1,000条),单击安全事件列表右上角
图标。待文件导出完成后,单击下载,将文件下载到本地。
说明导出的文件包含3个标签页,分别为安全事件记录列表、安全事件涉及的资产列表、安全事件涉及的实体列表。
风险防范
为防范服务器后续再次遭受病毒攻击,建议对服务器实施必要的加固措施,以此加大攻击者的入侵代价,提高其突破防御的门槛。
升级云安全中心版本:企业版和旗舰版支持病毒自动隔离(即病毒自动查杀)功能为您提供精准防御能力,支持更多的安全检测项。
收紧访问控制:仅开放必要的业务端口(如80、443),对管理端口(如22、3389)和数据库端口(如3306)配置严格的IP白名单访问策略。
说明若是阿里云 ECS服务器可参见管理安全组进行操作。
设置复杂服务器密码:为服务器和应用设置包含大小写字母、数字和特殊符号的复杂密码。
升级软件:请及时将应用软件更新至官方最新版本,避免使用已停止维护或存在已知安全漏洞的旧版本。
定期备份:对重要数据和服务器系统盘创建定期快照策略。
说明若是阿里云 ECS服务器可参见创建自动快照策略进行操作。
及时修复漏洞:定期使用云安全中心漏洞修复功能及时修补系统高危漏洞和应用漏洞。
重置服务器系统(谨慎选择)。
如果病毒入侵较深,关联到系统底层组件,强烈建议您在备份重要数据后,重置服务器的系统。具体操作步骤如下:
创建快照备份服务器上的重要数据。具体操作,请参见手动创建单个快照。
初始化服务器的操作系统。具体操作,请参见重新初始化系统盘(重置操作系统)。
使用快照生成云盘。具体操作,请参见使用快照创建数据盘。
挂载云盘到重装系统后的服务器上。具体操作,请参见挂载数据盘。
配额与限制
数据保留:安全事件处置页面仅支持查看和处理最近180天内的事件。
实体详情:在实体的详情页中,其关联的事件、告警和处置任务数量仅统计最近30天的数据。
导出数量:单次最多支持导出1,000条安全事件记录。
状态同步:更新安全事件的状态不会影响CWPP“精准防御”类告警的状态,此类告警默认为“已处理”(仅防御不通知)。