步骤四：及时处理告警

恶意软件

护网场景下企业主机安全检测出病毒、木马、黑客工具、Webshell类型的恶意软件居多，其中黑客工具类型尤其多，因此请重点关注这些类型的恶意软件告警。

发现恶意软件类告警即表示告警主机大概率被攻破，请按以下方式处理：

1. 立即进行安全排查。
2. 对告警主机进行网络隔离，防止横向扩散。

反弹Shell

反弹shell是攻击机监听在某个TCP/UDP端口为服务端，同时使目标机主动发起请求到攻击机监听的端口，并将其命令行的输入输出转到攻击机。攻击者一般通过漏洞利用获取主机命令执行权限后，建立反弹shell连接，进行下一步的恶意行为。

异常登录

异常登录是指使用未经授权的账户或者非正常的时间、地点等方式进行的登录行为，这种行为通常是黑客和攻击者尝试获取系统访问权限或滥用现有权限的一种方式。

确认是否为正常登录行为：

• 是：通过安全组限制固定IP登录，不允许任意公网IP登录主机。
• 否：主机已被攻破，请立即进行安全排查。

文件提权/进程提权/文件目录

• 文件提权

  恶意攻击者利用漏洞或错误配置的文件系统权限，获取比其正常权限更高的访问权限的过程。通过文件提权攻击，攻击者可以获取对系统中敏感数据和资源的访问权限，例如加密的密码文件、关键配置文件等，从而实施进一步的攻击。

• 进程提权

  攻击者利用漏洞或错误配置的进程权限，获取比其正常权限更高的访问权限的过程。通过进程提权攻击，攻击者可以获取对系统中敏感数据和资源的访问权限，例如加密的密码文件、关键配置文件等，从而实施进一步的攻击。

• 文件/目录变更

  指系统中对文件和目录的修改、删除、移动等行为，可能会对系统的稳定性、可用性和安全性产生影响。

这类告警一般需要结合其他告警（如反弹shell、异常登录、恶意软件等高危告警）分析。

• 如果同主机有反弹shell、异常登录或恶意软件等高危告警，则该主机被攻破，需要立刻进行安全排查。
• 如果此类告警单独出现，无其他高危告警，则优先分析是否为正常业务触发的误报。

高危命令执行告警

HSS预置策略会将strace、rz、tcpdump、nmap、nc、ncat、sz命令识别为高危命令。

这类告警一般需要结合其他告警（如反弹shell、异常登录、恶意软件等高危告警）分析。

• 如果同主机有反弹shell、异常登录或恶意软件等高危告警，则该主机被攻破，需要立即进行安全排查。
• 如果此类告警单独出现，无其他高危告警，则优先分析是否为正常业务触发的误报。

暴力破解

暴力破解是指攻击者尝试使用不同的用户名和密码组合来试图获得访问受保护系统的权限。

这种攻击方式通常利用弱密码、易受攻击的认证机制、未更新的软件等安全漏洞，以实现入侵目标系统或获取潜在的敏感信息。

分析告警详情中的攻击源IP：

• 攻击源IP为外网IP：说明安全组设置不严，请配置安全组规则禁止通过外网IP登录主机，或使用云堡垒机（Cloud Bastion Host，CBH）服务。
• 攻击源IP为内网IP：需要对攻击源IP主机进行安全排查，确认是否为客户业务密码配置错误，
  • 是：请获取正确的用户名和密码登录主机。
  • 否，请对攻击源主机进行网络隔离，并立即进行安全排查。

端口扫描/主机扫描

• 端口扫描

  一种常见的网络侦查技术，攻击者使用特定的工具或程序向目标主机发送数据包，以确定目标主机上开放的端口和正在运行的服务。

• 主机扫描

  指攻击者使用各种工具和技术，对目标主机的操作系统、服务和应用程序等信息进行侦查和枚举，以确定潜在的漏洞和攻击路径。

分析告警详情中的攻击源IP：

• 攻击源IP为外网IP：表示安全组设置不严，主机关键端口被外网扫描，需要加固网络ACL配置。
• 攻击源IP为内网IP：分析攻击源IP主机，确认是否为客户正常业务，
  • 是：可视情况进行忽略。
  • 否：请对攻击源主机进行网络隔离，并立即进行安全排查。