更新时间:2024-04-15 GMT+08:00

处理主机告警事件

主机安全可对您已开启的告警防御能力提供总览数据,帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、已处理告警事件、已拦截IP和已隔离文件。

事件列表仅保留近30天内发生的告警事件,您可以根据自己的业务需求,自行判断并处理告警,快速清除资产中的安全威胁。

告警事件处理完成后,告警事件将从“未处理”状态转化为“已处理”

约束与限制

  • 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell,您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后,HSS不对策略组关联的服务器进行检测,详细信息请参见查看和创建策略组
  • 其他检测项不允许手动关闭检测。
  • 未开启防护的服务器不支持告警事件相关操作。

操作步骤

当发生安全告警事件后,为了保障您的云服务器安全,可以根据以下方式处理安全告警事件。

由于网络攻击手段、病毒样本在不断演变,实际的业务环境也有不同差异,因此,无法保证能实时检测防御所有的未知威胁,建议您基于安全告警处理、漏洞、基线检查等安全能力,提升整体安全防线,预防黑客入侵、盗取或破坏业务数据。

  1. 登录管理控制台。
  2. 在页面左上角单击,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
  3. 在左侧导航栏中,单击入侵检测 > 安全告警事件 > 主机安全告警,进入“主机安全告警”页面。

    表1 安全告警统计说明

    参数名称

    告警事件状态说明

    时间范围

    支持选择固定周期,支持自定义查询告警的时间范围,自定义只能选择30天范围内的查询。

    固定周期可选择如下:

    • 最近24小时
    • 最近3天
    • 最近7天
    • 最近30天

    存在告警的服务器

    展示存在告警的服务器数量。

    待处理告警事件

    展示您资产中所有待处理告警的数量。

    安全告警处理页面默认展示所有待处理告警信息。

    已处理告警事件

    展示您资产中所有已处理的告警事件数量。

    已拦截IP

    展示已拦截的IP。单击“已拦截IP”,可查看已拦截的IP地址列表。

    已拦截IP列表展示“服务器名称”“攻击源IP”“登录类型”“拦截状态”“拦截次数”“开始拦截时间”“最近拦截时间”

    如果您发现有合法IP被误封禁(比如运维人员因为记错密码,多次输错密码导致被封禁),可以手工解除拦截。如果发现某个主机被频繁攻击,需要引起重视,建议及时修补漏洞,处理风险项。

    须知:
    • 解除被拦截的IP后,主机将不会再拦截该IP地址对主机执行的操作。
    • 每种软件最多拦截10000个ip。

      如果您的linux主机不支持ipset,mysql和vsftp最多拦截50个ip。

      如果您的linux主机既不支持ipset不支持hosts.deny,ssh最多拦截50个ip。

    已隔离文件

    主机安全可对检测到的威胁文件进行隔离处理,被成功隔离的文件会添加到“主机安全告警”“文件隔离箱”中。

    被成功隔离的文件一直保留在文件隔离箱中,您可以根据自己的需要进行一键恢复处理,关于文件隔离箱的详细信息,请参见管理文件隔离箱

  4. 处理告警事件。

    告警事件展示在“主机安全告警”页面中,事件列表仅展示最近30天的告警事件。

    您需要根据自己的业务需求,自行判断并处理告警。告警事件处理完成后,告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计,并且不在“总览”页展示。

    • 处理全量告警
      1. 通过“事件类型”选中需要全量处理的告警项,单击“事件列表”下方的“全量处理”

        全量处理前务必选择至最小的告警事件类别,否则“全量处理”按钮无法单击。

      2. 在弹窗中选择处理方式,确认无误,单击“确认”,完成全量告警处理,处理方式详情如表2所示。

        批量处理后的告警无法进行二次批量处理,若需二次处理告警事件,只能逐条处理。

    • 批量处理告警
      1. 任意选中“事件类型”,在事件列表勾选多个目标告警,单击“事件列表”下方的“批量处理”
      2. 在弹窗中选择处理方式,确认无误,单击“确认”,完成勾选告警处理,处理方式详情如表2所示。
    • 处理单个告警
      1. 选中目标“事件类型”,单击目标告警事件“操作”类的“处理”
      2. 在弹窗中选择处理方式,确认无误,单击“确认”,完成单个告警处理,处理方式详情如表2所示。
    表2 告警事件处理方式说明

    处理方式

    处理方式说明

    忽略

    仅忽略本次告警。若再次出现相同的告警信息,HSS会再次告警。

    隔离查杀

    选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。

    您可以单击“文件隔离箱”,查看已隔离的文件,详细信息请参见管理文件隔离箱

    对应告警事件支持隔离查杀的情况详情请参见主机安全告警事件概述

    说明:

    程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若隔离查杀有误报,您可以执行取消隔离/忽略操作。

    手动处理

    选择手动处理。您可以根据自己的需要为该事件添加“备注”信息,方便您记录手动处理该告警事件的详细信息。

    加入登录白名单

    如果确认“暴力破解”“异常登录”类型的告警事件是误报,且不希望HSS再上报该告警,您可以将本次登录告警事件加入登录白名单。

    HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后,若再次出现该登录事件,则HSS不会告警。

    有以下告警事件支持加入登录白名单。

    • 暴力破解
    • 异常登录

    加入告警白名单

    如果确认告警事件是误报,且不希望HSS再上报该告警,您可以将本次告警事件加入告警白名单。

    HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后,若再次出现该告警事件,则HSS不会告警。

    对应告警事件支持隔离查杀的情况详情请参见主机安全告警事件概述