查看应用防护

操作场景

当您为目标服务器开启应用防护成功后，可以在应用防护界面查看服务器应用防护状态、以及应用防护过程中触发的防护事件。您可以通过分析防护事件，加固应用防护措施，从而提升应用安全。

查看防护情况

1. 登录企业主机安全控制台。
2. 在控制台左上角，单击图标，选择区域或项目。
3. 选择“主机防御 > 应用防护 > 防护资产”，进入“防护资产”页面。
   图1 查看防护资产
   

4. （可选）如果您已开通企业项目，可在页面上方“企业项目”下拉框中选择企业项目，查看目标企业项目下的相关信息和数据。
5. 查看服务防护情况，参数说明如表1所示。

   表1 防护资产参数说明

   参数名称	参数描述
   资产名称/IP	服务器或容器节点的名称和IP。
   操作系统	资产的操作系统类型。
   防护策略	资产绑定的应用防护检测策略。
   RASP防护状态	应用的防护状态。 未防护：表示资产添加成功，但还未开启RASP防护。 开启中：正在开启RASP防护。 部分防护：表示一部分应用已开启RASP防护，一部分应用未开启RASP防护或开启防护失败。 防护中：表示所有应用均已开启RASP防护。 防护失败：表示由于异常原因，RASP防护开启失败。 关闭中：正在关闭应用防护。
   防护/接入应用数	正在防护的应用数量以及系统识别出的可开启应用总数。
   RASP防护端口	RASP探针和HSS通信所使用的端口。
   RASP攻击数	当前已经发生的应用防护事件。

6. 在目标资产所在行的“操作”列，单击“查看详情”，查看对应资产的应用防护详情。
   在防护详情界面，您可以查看并确认每个应用的RASP防护状态。

   图2 应用防护详情
   

查看并处理防护事件

1. 在应用防护界面，选择“防护事件”页签，查看防护事件列表。

   您也可以在目标资产所在行的“RASP攻击数”列，单击数值，跳转到“防护事件”页签。

2. 根据防护事件信息，判断是否是异常事件。相关参数说明请参见表2。
   图3 防护事件
   

   表2 防护事件参数说明

   参数名称	参数描述
   告警名称	告警事件名称。单击“告警名称”，可查看告警说明、处置建议、调查取证等信息。
   告警级别	发现的告警事件的等级，可通过选择不同等级筛选同一告警级别的服务器。 致命：致命级别的告警表示系统已经受到严重的攻击，可能导致数据丢失、系统崩溃或者长时间的服务中断。例如，发现勒索加密行为或恶意程序感染。建议您立即处理，避免对系统造成更严重的损害。 高危：高危级别的告警表示系统可能正在受到攻击，但尚未造成严重的损害。例如，检测到未授权的登录尝试或执行了危险命令（如删除关键系统文件或修改系统设置的命令）。建议您及时调查并采取措施，以防止攻击蔓延。 中危：中危级别的告警表示系统存在潜在的安全威胁，但目前没有明显遭受攻击的迹象。例如，检测到文件或目录的异常修改，表明系统可能存在潜在的攻击路径或配置错误。建议您进一步分析并采取适当的防范措施，以确保系统的安全。 低危：低危级别的告警表示系统存在轻微的安全威胁，不会对系统的正常运行产生显著影响。例如，检测到一些端口扫描行为，这些行为通常是攻击者尝试寻找系统漏洞的前奏。这类告警可以在合适的时间进行处理，不需要立即采取紧急措施。如果您的资产安全等级要求较高，可以关注该等级的安全告警。
   告警摘要	告警的精简信息。
   容器状态	容器当前状态。
   POD名称	告警事件发生的Pod名称。
   攻击标识	攻击链环节。
   影响资产	告警所影响的主机或容器资产信息。
   告警发生时间	告警事件发生的具体时间。
   状态	告警的处理状态。

3. 在目标告警所在行的“操作”列，单击“处理”，系统弹出“处理告警事件”页面。
4. 选择处理方式，单击“确定”，完成处理。相关参数说明请参见表3。
   应用防护事件会同步展示在“检测与响应 > 安全告警事件”页面，您在“应用防护”或“安全告警事件”页面处理防护事件后，另一个页面会同步更新处理状态。

   表3 处理告警事件参数说明

   参数	说明
   处理方式	我已手动处理：您已手动处理风险事件，例如修复漏洞等，可选择“我已手动处理” 忽略：仅忽略本次告警。如果再次出现相同的告警信息，HSS会再次告警。
   批量处理	如果不同时间同时触发了多条相同的告警，您可以选择批量处理，一并处理所有相同的告警。
   备注描述	根据需要备注说明。