更新时间:2023-02-16 GMT+08:00
分享

查看和处理入侵告警事件

企业主机安全可对您已开启的告警防御能力提供总览数据,帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、已处理告警事件、已拦截IP和已隔离文件。

事件管理列表仅保留近30天内发生的告警事件,您可以根据自己的业务需求,自行判断并处理告警,快速清除资产中的安全威胁。

告警事件处理完成后,告警事件将从“未处理”状态转化为“已处理”

收到告警事件通知说明您的云服务器被攻击过,不代表已经被破解入侵。

您可在收到告警后,及时对告警进行分析、排查,采取相应的防护措施即可。

约束与限制

  • 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者网站后门,您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后,HSS不对策略组关联的服务器进行检测,详细信息请参见查看和创建策略组
  • 其他检测项不允许手动关闭检测。

查看告警事件

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择安全与合规 > 企业主机安全,进入企业主机安全页面。

    图1 企业主机安全

  3. 在左侧导航栏中,单击入侵检测 > 事件管理,进入“事件管理”页面,如图2所示。

    图2 事件管理
    表1 安全告警事件列表说明

    告警事件状态

    告警事件状态说明

    存在告警的服务器

    展示存在告警的服务器数量。

    待处理告警事件

    展示您资产中所有待处理告警的数量。

    安全告警处理页面默认展示所有待处理告警信息,更多详细内容请参见处理告警事件

    已处理告警事件

    展示您资产中所有已处理的告警事件数量。

    已拦截IP

    展示已拦截的IP。单击“已拦截IP”,可查看已拦截的IP地址列表。

    已拦截IP列表展示“服务器名称”“攻击源IP”“攻击类型”“拦截次数”“开始拦截时间”“最近拦截时间”“拦截时长”“拦截状态”

    如果您发现有合法IP被误封禁(比如运维人员因为记错密码,多次输错密码导致被封禁),可以手工解除拦截。如果发现某个主机被频繁攻击,需要引起重视,建议及时修补漏洞,处理风险项。

    须知:

    解除被拦截的IP后,主机将不会再拦截该IP地址对主机执行的操作。

    已隔离文件

    企业主机安全可对检测到的威胁文件进行隔离处理,被成功隔离的文件会添加到“事件管理”“文件隔离箱”中。

    被成功隔离的文件一直保留在文件隔离箱中,您可以根据自己的需要进行一键恢复处理,关于文件隔离箱的详细信息,请参见管理文件隔离箱

  4. 单击告警事件列表中的告警事件,可查看告警事件对应的受影响的服务器、发生时间等信息,如图3所示。

    • 全部:展示发生的总的告警数。
    • 告警事件:展示各告警事件发生的告警数。
    图3 告警事件统计数量

  5. 单击告警列表中的告警名称,可查看告警的详细信息,如图4所示。

    图4 告警详细信息

处理告警事件

当发生安全告警事件后,为了保障您的云服务器安全,可以根据以下方式处理安全告警事件。

由于网络攻击手段、病毒样本在不断演变,实际的业务环境也有不同差异,因此,无法保证能实时检测防御所有的未知威胁,建议您基于安全告警处理、漏洞、基线检查等安全能力,提升整体安全防线,预防黑客入侵、盗取或破坏业务数据。

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择安全与合规 > 企业主机安全,进入企业主机安全页面。

    图5 企业主机安全

  3. 在左侧导航栏,单击入侵检测 > 事件管理,进入事件管理页面。

    图6 事件管理

  4. 单击告警列表中的告警事件,勾选待处理的告警事件,单击“批量处理”,处理告警事件,如图7所示,处理方式如表2所示。

    您也可以单击告警名称所在行的“处理”,处理告警。

    图7 处理告警事件

    告警事件展示在“事件管理”页面中,事件管理列表仅展示最近30天的告警事件。

    您需要根据自己的业务需求,自行判断并处理告警。告警事件处理完成后,告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计,并且不在“总览”页展示。

    表2 处理告警事件

    处理方式

    处理方式说明

    忽略

    仅忽略本次告警。若再次出现相同的告警信息,HSS会再次告警。

    隔离查杀

    选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。

    您可以单击“文件隔离箱”,查看已隔离的文件,详细信息请参见管理文件隔离箱

    有以下两类告警事件支持线上隔离查杀。

    • 恶意程序(云查杀)
    • 进程异常行为
    说明:

    程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若隔离查杀有误报,您可以执行取消隔离/忽略操作。

    手动处理

    选择手动处理。您可以根据自己的需要为该事件添加“备注”信息,方便您记录手动处理该告警事件的详细信息。

    加入登录白名单

    如果确认“帐号暴力破解”“帐户异常登录”类型的告警事件是误报,且不希望HSS再上报该告警,您可以将本次登录告警事件加入登录白名单。

    HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后,若再次出现该登录事件,则HSS不会告警。

    加入告警白名单

    如果确认以下类型的告警事件是误报,且不希望HSS再上报该告警,您可以将本次告警事件加入告警白名单。

    HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后,若再次出现该告警事件,则HSS不会告警。

    • 反弹Shell
    • Webshell检测
    • 进程异常行为检测
    • 进程提权
    • 文件提权
    • 高危命令
    • 恶意程序

告警处理建议

告警名称

告警参数说明

处理建议

帐户暴力破解

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 攻击源IP:攻击主机的IP地址。
  • 攻击类型:可拦截的攻击类型,包含mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。
  • 尝试破解次数:被尝试破解的次数。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

该告警事件需要您高度重视。

若接收到帐户暴力破解告警通知,说明您的主机可能存在被暴力破解风险,包括但不限于以下这些情况:

  • 系统存在弱口令,同时正在遭受暴力破解攻击。
  • 数次口令输错(但未达到封禁源IP条件)后成功登录。

建议您立即确认源IP是否是已知的合法IP。

  • 若源IP合法。

    您可以“忽略”该次告警并手工解除IP封禁。或者“加入告警白名单”,该告警将不会再次触发。

  • 若源IP不合法,是未知IP,那么您的主机系统可能已经被黑客入侵成功。
    1. 建议您将该事件标记为“手动处理”
    2. 立即登录系统并修改并设置安全的帐户密码。
    3. 通过帐号信息管理和风险帐户排查所有系统帐户,对可疑帐户进行处理,防止攻击者创建新的帐户或者更改帐户权限。
    4. 通过恶意程序(云查杀)排查系统是否被植入了恶意程序。针对恶意程序,请登录云主机,尽快结束其进程,阻止恶意程序运行。

帐户异常登录

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 攻击类型:攻击的类型,包含mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。
  • 端口:被攻击的端口。
  • 主机:攻击者的IP地址。
  • 用户名:攻击者的用户名。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出帐户异常登录,建议您立即确认该源IP是否是已知的合法IP。

  • 若源IP合法,您可以“忽略”该事件。

    如果该登录地是合法的常用登录地,您可以将该地区加入“常用登录地”列表。

  • 若该源IP不合法,是未知IP,那么您的主机系统已经被入侵成功,需要您高度重视。

    建议您将该事件标记为“手动处理”,并立即登录系统并修改帐户密码,同时全面排查系统风险,避免系统遭受进一步破坏。

恶意程序(云查杀)

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 恶意程序路径:恶意程序的路径。
  • 哈希值:哈希值。
  • 文件权限:文件的权限。
  • 运行用户:运行该程序的用户。
  • 程序启动时间:程序启动的时间。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出存在恶意程序,建议您立即对该程序进行确认:

  • 若该程序属于正常业务,您可以“忽略”该事件;或者“加入告警白名单”,该告警将不会再次触发。
  • 若是未知程序或者经确认是恶意程序,建议立即执行进程查杀并隔离程序源文件。
    • 您可以对已检测出的恶意程序或疑似恶意程序,执行一键“隔离查杀”。或者将该事件标记为“手动处理”,立即登录系统终止该进程并全面排查系统风险,避免系统遭受进一步破坏。
    • HSS提供恶意程序自动隔离查杀功能,可对目前部分主流勒索病毒、DDOS木马等进行主动防护和主动隔离。

      建议您启用该功能,加固主机安全防线。详细操作请参见开启恶意程序自动隔离查杀

  • 若事后确认该程序是无害程序或者查杀该程序影响了业务,可以“取消隔离查杀”,或者从“文件隔离箱”中还原程序源文件。

进程异常行为

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 疑似恶意程序路径:疑似恶意程序的路径。
  • 文件权限:文件的权限。
  • PID:进程ID。
  • 命令行:启动异常进程的命令行。
  • 父进程PID:父进程的进程ID。
  • 父进程程序路径:父进程的程序路径。
  • 行为:该异常进程的行为,例如:高CPU。
  • 连接数:
  • CPU使用频率:CPU的使用频率。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出进程异常行为,建议您立即对该进程进行确认:

  • 若该进程属于正常业务,您可以“忽略”该事件;或者“加入告警白名单”,该告警将不会再次触发。
  • 若是未知进程或者经确认是恶意程序,建议立即执行进程查杀并隔离程序源文件。
    • 您可以对已检测出的恶意程序或疑似恶意程序,执行一键“隔离查杀”。或者将该事件标记为“手动处理”,立即登录系统终止该进程并全面排查系统风险,避免系统遭受进一步破坏。
    • HSS提供恶意程序自动隔离查杀功能,可对目前部分主流勒索病毒、DDOS木马等进行主动防护和主动隔离。

      建议您启用该功能,加固主机安全防线。详细操作请参见开启恶意程序自动隔离查杀

  • 若事后确认该程序是无害程序或者查杀该程序影响了业务,可以“取消隔离查杀”,或者从“文件隔离箱”中还原程序源文件。

关键文件变更

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 操作:对关键文件执行的操作。
  • 文件路径:被操作的关键文件的路径。
  • 移动到:移动到的路径。
  • 是否目录:操作的是否是目录,“true”或者“false”
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出关键文件变更,建议您立即对该变更进行确认:

  • 若合法,您可以“忽略”该告警。
  • 若不合法,关键文件被异常的读取、写入、删除等,确认非用户主动行为。

    建议您将该事件标记为“手动处理”,立即将该文件替换为操作系统的标准版本。并修改帐户密码,同时全面排查系统风险,避免系统遭受进一步破坏。

网站后门

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 木马文件路径:木马所在的文件路径。
  • 发现时间:发现的时间。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出网站后门,建议您立即确认该文件是否合法。

  • 若合法,您可以“忽略”该告警;或者“加入告警白名单”,该告警将不会再次触发。
  • 若不合法,建议您将该事件标记为“手动处理”,并对该文件立即执行隔离

反弹/异常Shell

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 文件路径:文件的路径。
  • 详情:详情。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出反弹/异常Shell,建议您立即确认该反弹/异常Shell是否合法。

  • 若合法,您可以“忽略”该事件。
  • 若不合法,请将该事件标记为“手动处理”,建议您立即登录系统阻断非法连接或者命令执行,并全面排查系统风险,避免系统遭受进一步破坏。

高危命令执行

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 哈希值:哈希值。
  • PID:进程的ID。
  • 进程路径:进程的路径。
  • 进程命令:执行该进程的命令。
  • 父进程PID:父进程的ID。
  • 父进程路径:父进程的路径。
  • 父进程命令:执行父进程的命令。
  • 会话用户名:会话的用户名。
  • 运行用户:运行的用户。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出高危命令执行,建议您立即确认该高危命令执行是否合法。

  • 若合法,您可以“忽略”该事件;或者“加入告警白名单”,该告警将不会再次触发。
  • 若不合法,请将该事件标记为“手动处理”,建议您立即登录系统排查该命令所执行的操作,并全面排查系统风险,避免系统遭受进一步破坏。

自启动检测

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 服务名:自启动服务的名称。
  • 路径:自启动服务的路径。
  • 类型:自启动的类型。
  • 事件类型:事件的类型。
  • 运行用户:运行的用户。
  • 文件HASH:文件的HASH。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出新增自启动项,需要用户自行判断该自启动是否合法。

  • 若合法,您可以“忽略”该事件;或者“加入告警白名单”,该告警将不会再次触发。
  • 若不合法,请将该事件标记为“手动处理”,建议您立即登录系统删除非法自启动项目,并全面排查系统风险,避免系统遭受进一步破坏。

风险帐户

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 帐号名:风险帐号的名称。
  • 用户组:风险帐号所在的用户组。
  • UID/SID:UID/SID。
  • 用户目录:用户的目录。
  • 用户启动Shell:用户启动的Shell。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出风险帐号,建议您立即确认该帐号是否合法。

  • 若合法,您可以“忽略”该事件。
  • 若不合法,请将该事件标记为“手动处理”,建议执行以下操作:
    • 删除可疑帐号

      删除主机中无用的系统登录帐号,如SSH帐号。

      删除主机中MySQL、FTP使用的无用的帐号。

    • 限制帐号权限

      通过限制关键配置项,限制非管理员的文件访问权限和文件修改权限,防止未授权的访问权限和使用操作。

提权操作

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 提权方式:提权的方式。
  • 提权文件路径:提权文件的路径。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出提权操作,建议您立即确认该提权操作是否合法。

  • 若合法,您可以“忽略”该事件。
  • 若不合法,请将该事件标记为“手动处理”,建议您立即登录系统阻止非法创建和修改系统帐号或者篡改文件的行为,并全面排查系统风险,避免系统遭受进一步破坏。

Rootkit程序

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • Rootkit名称:Rootkit的名称。
  • 子模块名称:子模块的名称。
  • 特征:Rootkit程序特征。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出Rootkit程序安装,建议您立即确认该Rootkit安装是否合法。

  • 若合法,您可以“忽略”该事件。
  • 若不合法,请将该事件标记为“手动处理”,建议您立即登录系统终止该Rootkit安装行为,并全面排查系统风险,避免系统遭受进一步破坏。
分享:

    相关文档

    相关产品