更新时间:2025-09-17 GMT+08:00

查看应用防护

操作场景

当您为目标服务器开启应用防护成功后,可以在应用防护界面查看服务器应用防护状态、以及应用防护过程中触发的防护事件。您可以通过分析防护事件,加固应用防护措施,从而提升应用安全。

查看防护情况

  1. 登录企业主机安全控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. 选择主机防御 > 应用防护 > 防护资产,进入“防护资产”页面。

    图1 查看防护资产

  1. (可选)如果您已开通企业项目,可在页面上方“企业项目”下拉框中选择企业项目,查看目标企业项目下的相关信息和数据。
  2. 查看服务防护情况,参数说明如表1所示。

    表1 防护资产参数说明

    参数名称

    参数描述

    资产名称/IP

    服务器或容器节点的名称和IP。

    操作系统

    资产的操作系统类型。

    防护策略

    资产绑定的应用防护检测策略。

    RASP防护状态

    应用的防护状态。

    • 未防护:表示资产添加成功,但还未开启RASP防护。
    • 开启中:正在开启RASP防护。
    • 部分防护:表示一部分应用已开启RASP防护,一部分应用未开启RASP防护或开启防护失败。
    • 防护中:表示所有应用均已开启RASP防护。
    • 防护失败:表示由于异常原因,RASP防护开启失败。
    • 关闭中:正在关闭应用防护。

    防护/接入应用数

    正在防护的应用数量以及系统识别出的可开启应用总数。

    RASP防护端口

    RASP探针和HSS通信所使用的端口。

    RASP攻击数

    当前已经发生的应用防护事件。

  3. 在目标资产所在行的“操作”列,单击“查看详情”,查看对应资产的应用防护详情。

    在防护详情界面,您可以查看并确认每个应用的RASP防护状态。
    图2 应用防护详情

查看并处理防护事件

  1. 在应用防护界面,选择“防护事件”页签,查看防护事件列表。

    您也可以在目标资产所在行的“RASP攻击数”列,单击数值,跳转到“防护事件”页签。

  2. 根据防护事件信息,判断是否是异常事件。相关参数说明请参见表2

    图3 防护事件
    表2 防护事件参数说明

    参数名称

    参数描述

    告警名称

    告警事件名称。单击“告警名称”,可查看告警说明、处置建议、调查取证等信息。

    告警级别

    发现的告警事件的等级,可通过选择不同等级筛选同一告警级别的服务器。

    • 致命:致命级别的告警表示系统已经受到严重的攻击,可能导致数据丢失、系统崩溃或者长时间的服务中断。例如,发现勒索加密行为或恶意程序感染。建议您立即处理,避免对系统造成更严重的损害。
    • 高危:高危级别的告警表示系统可能正在受到攻击,但尚未造成严重的损害。例如,检测到未授权的登录尝试或执行了危险命令(如删除关键系统文件或修改系统设置的命令)。建议您及时调查并采取措施,以防止攻击蔓延。
    • 中危:中危级别的告警表示系统存在潜在的安全威胁,但目前没有明显遭受攻击的迹象。例如,检测到文件或目录的异常修改,表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施,以确保系统的安全。
    • 低危:低危级别的告警表示系统存在轻微的安全威胁,不会对系统的正常运行产生显著影响。例如,检测到一些端口扫描行为,这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理,不需要立即采取紧急措施。如果您的资产安全等级要求较高,可以关注该等级的安全告警。

    告警摘要

    告警的精简信息。

    容器状态

    容器当前状态。

    POD名称

    告警事件发生的Pod名称。

    攻击标识

    攻击链环节。

    影响资产

    告警所影响的主机或容器资产信息。

    告警发生时间

    告警事件发生的具体时间。

    状态

    告警的处理状态。

  3. 在目标告警所在行的“操作”列,单击“处理”,系统弹出“处理告警事件”页面。
  4. 选择处理方式,单击“确定”,完成处理。相关参数说明请参见表3

    应用防护事件会同步展示在检测与响应 > 安全告警事件页面,您在“应用防护”“安全告警事件”页面处理防护事件后,另一个页面会同步更新处理状态。
    表3 处理告警事件参数说明

    参数

    说明

    处理方式

    • 我已手动处理:您已手动处理风险事件,例如修复漏洞等,可选择“我已手动处理”
    • 忽略:仅忽略本次告警。如果再次出现相同的告警信息,HSS会再次告警。

    批量处理

    如果不同时间同时触发了多条相同的告警,您可以选择批量处理,一并处理所有相同的告警。

    备注描述

    根据需要备注说明。