更新时间:2024-07-12 GMT+08:00

查看主机告警事件

您可自定义查询30天内发生的告警事件,您可以根据自己的业务需求,自行判断并处理告警,快速清除资产中的安全威胁。

告警事件处理完成后,告警事件将从“未处理”状态转化为“已处理”

AV检测和HIPS检测的告警分类会按照具体的告警情况在不同的告警类型中呈现。

  • AV检测告警结果只在恶意软件下的不同类别呈现。
  • HIPS检测的告警结果会根据实际种类在所有类型的子类别中呈现。

约束与限制

  • 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell,您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后,HSS不对策略组关联的服务器进行检测。
  • 其他检测项不允许手动关闭检测。
  • 未开启防护的服务器不支持告警事件相关操作。

操作步骤

  1. 登录管理控制台。
  2. 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
  3. 在左侧导航栏中,单击入侵检测 > 安全告警事件 > 主机安全告警,进入“主机安全告警”页面。

    表1 安全告警统计说明

    参数名称

    告警事件状态说明

    企业项目

    自定义选择企业项目,按照企业项目的维度查看告警详情。

    时间范围

    支持选择固定周期,支持自定义查询告警的时间范围,自定义只能选择30天范围内的查询。

    固定周期可选择如下:

    • 最近24小时
    • 最近3天
    • 最近7天
    • 最近30天

    主机安全告警

    存在告警的服务器

    展示存在告警的服务器数量。

    待处理告警事件

    展示您资产中所有待处理告警的数量。

    安全告警处理页面默认展示所有待处理告警信息。

    已处理告警事件

    展示您资产中所有已处理的告警事件数量。

    已拦截IP

    展示已拦截的IP。单击“已拦截IP”,可查看已拦截的IP地址列表。

    已拦截IP列表展示“服务器名称”“攻击源IP”“登录类型”“拦截状态”“拦截次数”“开始拦截时间”“最近拦截时间”

    如果您发现有合法IP被误封禁(比如运维人员因为记错密码,多次输错密码导致被封禁),可以手工解除拦截。如果发现某个主机被频繁攻击,需要引起重视,建议及时修补漏洞,处理风险项。

    须知:
    • 解除被拦截的IP后,主机将不会再拦截该IP地址对主机执行的操作。
    • 每种软件最多拦截10000个ip。

      如果您的linux主机不支持ipset,mysql和vsftp最多拦截50个ip。

      如果您的linux主机既不支持ipset不支持hosts.deny,ssh最多拦截50个ip。

    已隔离文件

    主机安全可对检测到的威胁文件进行隔离处理,被成功隔离的文件会添加到“主机安全告警”“文件隔离箱”中。

    被成功隔离的文件一直保留在文件隔离箱中,您可以根据自己的需要进行一键恢复处理,关于文件隔离箱的详细信息,请参见管理文件隔离箱

    容器安全告警

    存在告警的服务器

    展示存在告警的服务器数量。

    待处理告警事件

    展示您资产中所有待处理告警的数量。

    安全告警处理页面默认展示所有待处理告警信息。

    已处理告警事件

    展示您资产中所有已处理的告警事件数量。

    威胁等级

    将被告警按照不同等级进行统计。

    • 致命
    • 高危
    • 中危
    • 低危

    TOP5事件类型

    展示数量最多的前五种告警类型及数量。

  4. 单击事件类型中的告警事件,可查看告警事件对应的受影响的服务器、发生时间等信息。

    • 全部:展示发生的总的告警数。
    • 告警事件:展示各告警事件发生的告警数。

  5. 单击事件类型的告警名称,可查看告警的详细信息。