SA的“安全概览”页面实时呈现云上整体安全评估状况,并联动其他云安全服务,集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作,实现云上安全态势一览和风险统一管控。
您可以在“安全概览”页面查看您的资产安全总览情况,并进行相关操作。“安全概览”分为以下几个板块:
安全评分
“安全评分”板块根据不同版本的威胁检测能力,评估整体资产安全健康得分,可快速了解未处理风险对资产的整体威胁状况,如图1。
图1 安全评分
- 分值范围为0~100,分值越大表示风险越小,资产更安全,安全分值详细说明请参见安全评分。
- 分值环形图不同颜色表示不同威胁等级。例如,黄色对应“中危”。
- 单击“立即处理”,系统右侧弹出“安全风险处理”页面,您可根据该页面的提示,参考对应的帮助文档或直接对风险进行处理。
- 安全风险处理页面中包含所有需要您尽快处理的安全风险和威胁,分为“威胁告警”、“漏洞”、“合规检查”三大类别。
- “安全风险处理”页面中显示的数据为最近/最新检测后的数据结果,“检测结果”页面(单击“前往处理”,进入该页面)显示的是所有检测时间的各类数据详情,因此,安全风险处理页面的数据总数≤检测结果页面的数据总数。
- 处理安全风险:
- 在“安全评分”栏中,单击“立即处理”,系统右侧弹出“安全风险处理”页面。
- 在“安全风险处理”页面中,单击“前往处理”,进入检测结果页面。
- 选择一个或多个“未处理”状态的结果,单击“忽略”或“标记为线下处理”,对不同检测结果批量执行相应的处理操作。
- 忽略:如果确认该检测结果不会造成危害,在“忽略风险项”窗口记录“处理人”、“忽略理由”,可标记为“已忽略”状态。
- 标记为线下处理:如果该检测结果已在线下处理,在“标记为线下处理”窗口记录“处理人”、“处理时间”和“处理结果”,可标记为“已线下处理”状态。
- 资产风险修复,并手动刷新告警事件状态后,安全评分实时更新。资产安全风险修复后,也可以直接单击“重新检测”,重新检测资产并进行评分。
说明:
- 由于检测需要一定的时间,请您在单击“重新检测”按钮5分钟后,再刷新页面,查看最新检测的安全评分。
- 资产安全风险修复后,为降低安全评分的风险等级,需手动忽略或处理告警事件,刷新告警列表中告警事件状态。
- 安全评分显示为历史扫描结果,非实时数据,如需获取最新数据及评分,可单击“重新检测”,获取最近的数据。
安全监控
“安全监控”板块展示待处理威胁告警、待修复漏洞、合规检查问题的安全监控统计数据。
图2 安全监控
表1 安全监控参数说明
|
参数名称 |
参数说明 |
|
威胁告警 |
呈现最近7天内未处理威胁告警,可快速了解资产遭受的威胁告警类型和数量,呈现威胁告警的统计结果。
- 此处严重等级含义如下:
- 致命:即致命风险,表示您的资产中检测到了入侵事件,建议您立即查看告警事件的详情并及时进行处理。
- 高危:即高危风险,表示资产中检测到了可疑的异常事件,建议您立即查看告警事件的详情并及时进行处理。
- 其他:即其他类型(中危、低危、提示)风险,表示服务器中检测到了有风险的异常事件,建议您及时查看该告警事件的详情。
- 单击威胁告警模块,系统将列表实时呈现近7天内TOP5的威胁告警事件,可快速查看威胁告警详情,监控威胁告警状况,如图3所示。
- 列表呈现近7天TOP5的威胁告警事件的信息,包括威胁告警名称、告警等级、资产名称、告警发现时间。
- 若列表显示内容为空,表示近7天无威胁告警事件。
- 单击“查看更多”,可跳转到“检测结果”页面,查看更多的威胁告警信息,并可自定义过滤条件查询告警信息,查看威胁告警详细操作请参见告警列表。
图3 查看实时威胁告警
|
|
漏洞 |
展示您资产中TOP5漏洞类型,以及近24小时内还未修复的漏洞总数和不同漏洞风险等级对应的数量。
- 此处严重等级含义如下:
- 致命:即致命风险,表示您的资产中检测到了漏洞事件,建议您立即查看漏洞事件的详情并及时进行处理。
- 高危:即高危风险,表示资产中检测到了可疑的异常事件,建议您立即查看漏洞事件的详情并及时进行处理。
- 其他:即其他类型(中危、低危、提示)风险,表示服务器中检测到了有风险的异常事件,建议您及时查看该漏洞的详情。
- 单击漏洞模块中的“漏洞类型Top5”栏,系统将列表呈现TOP5(根据某个漏洞影响的主机数量进行排序)的漏洞类型。
- 此处的TOP等级是根据某个漏洞影响的主机数量进行排序,受影响主机数量越多排名越靠前。
- 仅当主机中Agent版本为2.0时,才会在“漏洞类型Top5”中显示对应数据。如未显示数据或需要查看TOP5漏洞类型,请将主机将Agent1.0升级至Agent2.0。
图4 漏洞类型
- 单击漏洞模块中的“实时监控最新漏洞风险事件 Top5”栏,系统将列表实时呈现近24小时内TOP5的漏洞事件,可快速查看漏洞详情,如图5所示。
- 列表呈现当日最新TOP5漏洞事件详情,包括漏洞名称、漏洞等级、资产名称、漏洞发现时间。
- 若列表显示内容为空,表示当日无漏洞事件。
- 单击“查看更多”,可跳转到“检查结果”页面,查看更多的漏洞信息,并可自定义过滤条件查询漏洞信息。
图5 查看实时漏洞
|
|
合规检查 |
展示您资产中近30天内存在的合规风险总数量和不同危险等级的合规检查风险对应的数量。
- 此处严重等级含义如下:
- 致命:即致命风险,表示您的资产中检测到了不合规的配置,建议您立即查看合规异常事件的详情并及时进行处理。
- 高危:即高危风险,表示资产中检测到了可疑的异常配置,建议您立即查看合规异常事件的详情并及时进行处理。
- 其他:即其他类型(中危、低危、提示)风险,表示服务器中检测到了有风险的异常配置,建议您及时查看该合规检查项目的详情。
- 单击合规检查异常模块,系统将列表实时呈现近30天内TOP5的合规检查异常事件,可快速查看合规检查详情,如图6所示。
- 列表呈现最近一次合规检查中TOP的合规异常事件详情,包括合规检查项目名称、等级、资产名称、发现时间。
- 若列表显示内容为空,表示近30天无合规异常事件。
- 单击“查看更多”,可跳转到“检查结果”页面,查看更多的合规异常信息,并可自定义过滤条件查询合规检查信息,查看合规检查详细操作请参见基线检查列表。
图6 查看合规异常事件
|
安全趋势
“安全趋势”板块展示近7天内您的整体资产安全健康得分的趋势图。
图7 安全趋势
威胁检测
“威胁检测”板块展示近7天内您的资产中检测到的告警数量及类型。
威胁检测服务(Managed Threat Detection,MTD)持续监控恶意活动和未经授权的行为,从而保护账户和工作负载。该服务通过集成AI智能引擎、威胁情报、规则基线等检测模型,识别各类云服务日志中的潜在威胁并输出分析结果,从而提升用户告警、事件检测准确性,提升运维运营效率。
开通威胁检测服务(MTD)后,才支持检测云服务日志数据中的访问行为,发现是否存在潜在威胁,对可能存在威胁的访问行为生成告警信息,输出告警结果。如果未开通,请单击“立即开通”,购买威胁检测服务。
图8 开通威胁检测服务
