查看入侵告警事件

约束与限制

• 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell，您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后，HSS不对策略组关联的服务器进行检测，详细信息请参见查看和创建策略组。
• 其他检测项不允许手动关闭检测。
• 未开启防护的服务器不支持告警事件相关操作。

操作步骤

1. 登录管理控制台。
2. 在页面左上角单击，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。
3. 在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。

   表1 安全告警统计说明

   参数名称	告警事件状态说明
   时间范围	支持选择固定周期，支持自定义查询告警的时间范围，自定义只能选择30天范围内的查询。 固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天
   存在告警的服务器	展示存在告警的服务器数量。
   待处理告警事件	展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。
   已处理告警事件	展示您资产中所有已处理的告警事件数量。
   已拦截IP	展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 须知： 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip。
   已隔离文件	主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。

4. 单击事件类型中的告警事件，可查看告警事件对应的受影响的服务器、发生时间等信息。
   • 全部：展示发生的总的告警数。
   • 告警事件：展示各告警事件发生的告警数。

5. 单击事件类型的告警名称，可查看告警的详细信息。