计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机服务器 CPH
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
VPC终端节点 VPCEP
云连接 CC
企业路由器 ER
企业交换机 ESW
全球加速 GA
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
边缘安全 EdgeSec
威胁检测服务 MTD
CDN与智能边缘
内容分发网络 CDN
CloudPond云服务
智能边缘云 IEC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
云搜索服务 CSS
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
数据可视化 DLV
数据湖工厂 DLF
湖仓构建 LakeFormation
企业应用
云桌面 Workspace
应用与数据集成平台 ROMA Connect
云解析服务 DNS
专属云
专属计算集群 DCC
IoT物联网
IoT物联网
设备接入 IoTDA
智能边缘平台 IEF
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
ICP备案
我的凭证
支持计划
客户运营能力
合作伙伴支持计划
专业服务
区块链
区块链服务 BCS
Web3节点引擎服务 NES
解决方案
SAP
高性能计算 HPC
视频
视频直播 Live
视频点播 VOD
媒体处理 MPC
实时音视频 SparkRTC
数字内容生产线 MetaStudio
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
存储容灾服务 SDRS
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属分布式存储服务 DSS
容器
云容器引擎 CCE
容器镜像服务 SWR
应用服务网格 ASM
华为云UCS
云容器实例 CCI
管理与监管
云监控服务 CES
统一身份认证服务 IAM
资源编排服务 RFS
云审计服务 CTS
标签管理服务 TMS
云日志服务 LTS
配置审计 Config
资源访问管理 RAM
消息通知服务 SMN
应用运维管理 AOM
应用性能管理 APM
组织 Organizations
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
应用身份管理服务 OneAccess
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库 GeminiDB
云数据库 GaussDB
分布式数据库中间件 DDM
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
人脸识别服务 FRS
图引擎服务 GES
图像识别 Image
内容审核 Moderation
文字识别 OCR
AI开发平台ModelArts
图像搜索 ImageSearch
对话机器人服务 CBS
华为HiLens
视频智能分析服务 VIAS
语音交互服务 SIS
应用中间件
分布式缓存服务 DCS
API网关 APIG
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
多活高可用服务 MAS
事件网格 EG
企业协同
华为云会议 Meeting
云通信
消息&短信 MSGSMS
云生态
合作伙伴中心
云商店
开发者工具
SDK开发指南
API签名指南
Terraform
华为云命令行工具服务 KooCLI
其他
产品价格详情
系统权限
管理控制台
客户关联华为云合作伙伴须知
消息中心
公共问题
开发与运维
应用管理与运维平台 ServiceStage
软件开发生产线 CodeArts
需求管理 CodeArts Req
部署 CodeArts Deploy
性能测试 CodeArts PerfTest
编译构建 CodeArts Build
流水线 CodeArts Pipeline
制品仓库 CodeArts Artifact
测试计划 CodeArts TestPlan
代码检查 CodeArts Check
代码托管 CodeArts Repo
云应用引擎 CAE
开天aPaaS
云消息服务 KooMessage
云手机服务 KooPhone
云空间服务 KooDrive

查看主机告警事件

更新时间:2025-01-07 GMT+08:00

企业主机安全可对您已开启的告警防御能力提供总览数据,帮助您快速了解安全告警概况包括需紧急处理告警、告警总数、存在告警的服务器、已拦截IP和已隔离文件等。

您可自定义查询30天内发生的告警事件,您可以根据自己的业务需求,自行判断并处理告警,快速清除资产中的安全威胁。

告警事件处理完成后,告警事件将从“未处理”状态转化为“已处理”

说明:

AV检测和HIPS检测的告警分类会按照具体的告警情况在不同的告警类型中呈现。

  • AV检测告警结果只在恶意软件下的不同类别呈现。
  • HIPS检测的告警结果会根据实际种类在所有类型的子类别中呈现。

约束与限制

  • 如果不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell,您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后,HSS不对策略组关联的服务器进行检测,详细信息请参见查看和创建策略组
  • 其他检测项不允许手动关闭检测。
  • 未开启防护的服务器不支持告警事件相关操作。

查看主机告警事件

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 在左侧导航栏中,单击检测与响应 > 安全告警事件 > 主机安全告警,进入“主机安全告警”页面,查看主机告警信息。

    说明:

    如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

    图1 主机安全告警
    表1 主机安全告警统计说明

    参数名称

    告警事件状态说明

    企业项目

    自定义选择企业项目,按照企业项目的维度查看告警详情。

    时间范围

    支持选择固定周期,支持自定义查询告警的时间范围,自定义只能选择30天范围内的查询。

    固定周期可选择如下:

    • 最近24小时
    • 最近3天
    • 最近7天
    • 最近30天

    需紧急处理告警

    展示需紧急处理告警的数量。

    告警总数

    展示资产中存在的所有告警数量。

    存在告警的服务器

    展示存在告警的服务器数量。

    当查看“最近24小时”存在告警情况时,您可以单击存在告警的服务器数值,跳转到“主机管理”界面查看相应的服务器列表。

    已处理告警事件

    展示您资产中所有已处理的告警事件数量。

    已拦截IP

    展示已拦截的IP。单击“已拦截IP”,可查看已拦截的IP地址列表。

    已拦截IP列表展示“服务器名称”“攻击源IP”“登录类型”“拦截状态”“拦截次数”“开始拦截时间”“最近拦截时间”

    如果您发现有合法IP被误封禁(比如运维人员因为记错密码,多次输错密码导致被封禁),可以手工解除拦截。如果发现某个主机被频繁攻击,需要引起重视,建议及时修补漏洞,处理风险项。

    须知:
    • Linux 3.2.10及以上版本的Agent已全面支持IPv6的拦截功能;低于该版本的Agent,支持TCP Wrapper的拦截方式,暂无IPTables拦截IPv6地址功能。
    • 解除被拦截的IP后,主机将不会再拦截该IP地址对主机执行的操作。
    • 每种软件最多拦截10000个ip。

      如果您的linux主机不支持ipset,mysql和vsftp最多拦截50个ip。

      如果您的linux主机既不支持ipset也不支持hosts.deny,ssh最多拦截50个ip。

    已隔离文件

    主机安全可对检测到的威胁文件进行隔离处理,被成功隔离的文件会添加到“主机安全告警”“文件隔离箱”中。

    被成功隔离的文件一直保留在文件隔离箱中,您可以根据自己的需要进行一键恢复处理,关于文件隔离箱的详细信息,请参见管理文件隔离箱

    • 根据告警类型或ATT&CK攻击阶段查看告警列表

      您可以在待处理告警栏,通过选择告警类型和ATT&CK攻击阶段,查看对应类型的告警事件列表。关于ATT&CK攻击阶段的含义请参见表 ATT&CK攻击阶段说明

      说明:

      ATT&CK的全称为Adversarial Tactics, Techniques, and Common Knowledge,它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型。

      表2 ATT&CK攻击阶段说明

      ATT&CK攻击阶段

      说明

      侦查

      攻击者尝试发现您的系统或网络中的漏洞。

      初始访问

      攻击者尝试进入您的系统或网络。

      执行

      攻击者尝试运行恶意代码。

      持久化

      攻击者尝试保持住它们入侵的进攻点。

      权限提升

      攻击者尝试获取更高等级的权限。

      防御绕过

      攻击者尝试避免被检测到。

      凭据访问

      攻击者尝试盗取账号名称和密码。

      命令与控制

      攻击者尝试与被攻击的机器通信并对其进行控制。

      影响破坏

      攻击者尝试操控,中断或者破坏您的系统或者数据。

    • 查看主机安全告警事件详细信息
      单击目标告警事件的告警名称,可查看告警的详细信息。告警信息说明如表 告警详细信息参数说明所示。
      说明:
      • 对于部分HSS已确定为恶意软件的告警,HSS会将告警源文件保存在云端中心,支持下载。您可以将告警源文件下载到本地进行分析查看,告警源文件压缩包解压密码为“unlock”
      • 对于未确认为恶意软件的告警,暂不支持告警源文件下载,您需要根据实际业务情况判断文件是否为恶意文件或误报。
      图2 告警详细信息
      表3 告警详细信息参数说明

      参数名称

      参数说明

      防护引擎

      HSS采用的检测引擎,包括病毒检测引擎、AI检测引擎、恶意情报检测引擎。

      攻击状态

      当前威胁攻击服务器的状态。

      首次告警发生时间

      首次发生攻击告警的时间。

      告警ID

      告警的唯一ID。

      Att&CK阶段

      攻击者在各阶段用到的攻击技术模型,详细说明请参见表 ATT&CK攻击阶段说明

      最新告警发生时间

      最新发生攻击告警的时间。

      告警信息

      告警的详细信息说明,包括告警说明、告警摘要、受影响资产和处置建议。

      调查取证

      HSS根据告警类型调查到的攻击触发路径或病毒类型等信息,帮助您快速排查溯源定位处理攻击源。

      • 进程树:当告警事件含进程信息时,调查取证栏目会展示进程树。进程树信息包含进程ID、进程文件路径、进程命令行、进程启动时间、进程文件hash等信息,您可以根据这些进程信息定位恶意进程。
      • 文件取证信息:当告警事件含文件信息时,调查取证栏目会展示文件取证信息。文件取证信息包含文件路径、文件hash、文件操作类型、用户信息(瞬时进程可能获取不到)等,您可以根据这些信息定位文件。
      • 网络取证信息:当告警事件含网络相关信息时,调查取证栏目会展示网络取证信息。网络取证信息包含本地IP地址、本地端口、远程IP地址、远程端口以及协议等,您可以根据这些信息判断是否为非法用户行为。
      • 用户取证信息:当告警事件含用户行为信息时,调查取证栏目会展示用户取证信息。用户取证信息包含用户名称、用户登录IP、登录的服务类型、登录服务端口、最后一次登录事件以及登录失败次数等,您可以根据这些信息判断是否为非法访问行为。
      • 注册表取证信息:当告警事件含注册表信息时,调查取证栏目会展示注册表取证信息。注册表取证信息包含注册表KEY、注册表VALUE等,您可以根据这些信息定位注册表风险。
      • 异常登录取证信息:当告警事件含异常登录信息时,调查取证栏目会展示异常登录取证信息。异常登录取证信息包含登录IP、端口等,您可以根据这些信息定位是否为可信登录。
      • 恶意软件取证信息:当告警事件含软件信息时,调查取证栏目会展示恶意软件取证信息。恶意软件取证信息包含恶意软件家族、病毒名称、病毒类型、置信度等信息。您可以根据这些信息定位恶意软件。
      • 自启动项取证信息:当告警事件含自启动项信息时,调查取证栏目会展示自启动项取证信息。自启动项取证信息包含用户、命令、自启动项信息、进程文件命令行等信息。您可以根据这些信息定位自启动项。
      • 内核取证信息:当告警事件含内核信息时,调查取证栏目会展示内核取证信息。内核取证信息包含系统函数、内核函数等信息。您可以根据这些信息定位内核风险。

      相似告警

      与本次告警的主机和事件类型相同的告警。您可以根据相似告警的处置方法处理本次告警。

常见问题

  • 为什么相似的告警有多条?

    对于24小时内发生的相似威胁事件,企业主机安全会将这些事件合并成一条告警;对于间隔24小时发生多次的相似威胁事件,企业主机安全将这些事件视作独立事件告警,分别呈现,因此您会看到相似的多条告警。

  • 如何查看24小时内相似告警事件发生了几次?

    您可以单击告警名称,在“告警详情”页面,查看累计发生次数、首次发生时间、最新发生时间。

    图3 告警详情

我们使用cookie来确保您的高速浏览体验。继续浏览本站,即表示您同意我们使用cookie。 详情

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容