更新时间:2025-09-17 GMT+08:00
查看应用防护
操作场景
当您为目标服务器开启应用防护成功后,可以在应用防护界面查看服务器应用防护状态、以及应用防护过程中触发的防护事件。您可以通过分析防护事件,加固应用防护措施,从而提升应用安全。
查看防护情况
- 登录企业主机安全控制台。
- 在控制台左上角,单击
图标,选择区域或项目。
- 选择“防护资产”页面。
,进入图1 查看防护资产
- (可选)如果您已开通企业项目,可在页面上方“企业项目”下拉框中选择企业项目,查看目标企业项目下的相关信息和数据。
- 查看服务防护情况,参数说明如表1所示。
表1 防护资产参数说明 参数名称
参数描述
资产名称/IP
服务器或容器节点的名称和IP。
操作系统
资产的操作系统类型。
防护策略
资产绑定的应用防护检测策略。
RASP防护状态
应用的防护状态。
- 未防护:表示资产添加成功,但还未开启RASP防护。
- 开启中:正在开启RASP防护。
- 部分防护:表示一部分应用已开启RASP防护,一部分应用未开启RASP防护或开启防护失败。
- 防护中:表示所有应用均已开启RASP防护。
- 防护失败:表示由于异常原因,RASP防护开启失败。
- 关闭中:正在关闭应用防护。
防护/接入应用数
正在防护的应用数量以及系统识别出的可开启应用总数。
RASP防护端口
RASP探针和HSS通信所使用的端口。
RASP攻击数
当前已经发生的应用防护事件。
- 在目标资产所在行的“操作”列,单击“查看详情”,查看对应资产的应用防护详情。
在防护详情界面,您可以查看并确认每个应用的RASP防护状态。图2 应用防护详情
查看并处理防护事件
- 在应用防护界面,选择“防护事件”页签,查看防护事件列表。
您也可以在目标资产所在行的“RASP攻击数”列,单击数值,跳转到“防护事件”页签。
- 根据防护事件信息,判断是否是异常事件。相关参数说明请参见表2。
图3 防护事件
表2 防护事件参数说明 参数名称
参数描述
告警名称
告警事件名称。单击“告警名称”,可查看告警说明、处置建议、调查取证等信息。
告警级别
发现的告警事件的等级,可通过选择不同等级筛选同一告警级别的服务器。
- 致命:致命级别的告警表示系统已经受到严重的攻击,可能导致数据丢失、系统崩溃或者长时间的服务中断。例如,发现勒索加密行为或恶意程序感染。建议您立即处理,避免对系统造成更严重的损害。
- 高危:高危级别的告警表示系统可能正在受到攻击,但尚未造成严重的损害。例如,检测到未授权的登录尝试或执行了危险命令(如删除关键系统文件或修改系统设置的命令)。建议您及时调查并采取措施,以防止攻击蔓延。
- 中危:中危级别的告警表示系统存在潜在的安全威胁,但目前没有明显遭受攻击的迹象。例如,检测到文件或目录的异常修改,表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施,以确保系统的安全。
- 低危:低危级别的告警表示系统存在轻微的安全威胁,不会对系统的正常运行产生显著影响。例如,检测到一些端口扫描行为,这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理,不需要立即采取紧急措施。如果您的资产安全等级要求较高,可以关注该等级的安全告警。
告警摘要
告警的精简信息。
容器状态
容器当前状态。
POD名称
告警事件发生的Pod名称。
攻击标识
攻击链环节。
影响资产
告警所影响的主机或容器资产信息。
告警发生时间
告警事件发生的具体时间。
状态
告警的处理状态。
- 在目标告警所在行的“操作”列,单击“处理”,系统弹出“处理告警事件”页面。
- 选择处理方式,单击“确定”,完成处理。相关参数说明请参见表3。 页面,您在