企业主机安全 HSS企业主机安全 HSS

计算
弹性云服务器 ECS
裸金属服务器 BMS
云手机 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器 HECS
VR云渲游平台 CVR
特惠算力专区
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属企业存储服务
云存储网关 CSG
专属分布式存储服务 DSS
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘小站 IES
智能边缘平台 IEF
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
园区智能体 CampusGo
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
视频分析服务 VAS
语音交互服务 SIS
知识图谱 KG
人证核身服务 IVS
IoT物联网
设备接入 IoTDA
设备管理 IoTDM(联通用户专用)
全球SIM联接 GSL
IoT开发者服务
IoT数据分析
车联网服务 IoV
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
开发与运维
软件开发平台 DevCloud
项目管理 ProjectMan
代码托管 CodeHub
流水线 CloudPipeline
代码检查 CodeCheck
编译构建 CloudBuild
部署 CloudDeploy
云测 CloudTest
发布 CloudRelease
移动应用测试 MobileAPPTest
CloudIDE
Classroom
开源镜像站 Mirrors
应用魔方 AppCube
云性能测试服务 CPTS
应用管理与运维平台 ServiceStage
云应用引擎 CAE
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
资源管理服务 RMS
应用身份管理服务 OneAccess
区块链
区块链服务 BCS
可信跨链服务 TCS
智能协作
IdeaHub
开发者工具
SDK开发指南
API签名指南
DevStar
HCloud CLI
Terraform
Ansible
API问题定位指导
云生态
云市场
合作伙伴中心
华为云培训中心
其他
管理控制台
消息中心
产品价格详情
系统权限
我的凭证
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
应用编排服务 AOS
多云容器平台 MCP
基因容器 GCS
容器洞察引擎 CIE
云原生服务中心 OSC
容器批量计算 BCE
容器交付流水线 ContainerOps
应用服务网格 ASM
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB (for openGauss)
云数据库 GaussDB(for MySQL)
云数据库 GaussDB NoSQL
数据管理服务 DAS
数据库和应用迁移 UGO
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据湖治理中心 DGC
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
API网关 APIG
分布式缓存服务 DCS
分布式消息服务RocketMQ版
企业应用
域名注册服务 Domains
云解析服务 DNS
云速建站 CloudSite
网站备案
华为云WeLink
会议
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMAExchange
API全生命周期管理 ROMA API
安全与合规
安全技术与应用
DDoS防护 ADS
Web应用防火墙 WAF
云防火墙 CFW
应用信任中心 ATC
企业主机安全 HSS
容器安全服务 CGS
云堡垒机 CBH
数据库安全服务 DBSS
数据加密服务 DEW
数据安全中心 DSC
云证书管理服务 CCM
SSL证书管理 SCM
漏洞扫描服务 VSS
态势感知 SA
威胁检测服务 MTD
管理检测与响应 MDR
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
专属云
专属计算集群 DCC
解决方案
高性能计算 HPC
SAP
游戏云
混合云灾备
华为工业云平台 IMC
价格
成本优化最佳实践
专属云商业逻辑
用户服务
帐号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
文档首页> 企业主机安全 HSS> 用户指南> 入侵检测> 查看和处理入侵告警事件
更新时间:2021-08-03 GMT+08:00
分享

查看和处理入侵告警事件

企业主机安全可对您已开启的告警防御能力提供总览数据,帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、已处理告警事件、已拦截IP和已隔离文件。

事件管理列表仅保留近30天内发生的告警事件,您可以根据自己的业务需求,自行判断并处理告警,快速清除资产中的安全威胁。

告警事件处理完成后,告警事件将从“未处理”状态转化为“已处理”

约束与限制

  • 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者网站后门,您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后,HSS不对策略组关联的服务器进行检测,详细信息请参见查看和创建策略组
  • 其他检测项不允许手动关闭检测。

查看告警事件

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择安全与合规 > 企业主机安全,进入企业主机安全页面。

    图1 企业主机安全

  3. 在左侧导航栏中,单击入侵检测 > 事件管理,进入“事件管理”页面,如图2所示。

    图2 事件管理
    表1 安全告警事件列表说明

    告警事件状态

    告警事件状态说明

    存在告警的服务器

    展示存在告警的服务器数量。

    待处理告警事件

    展示您资产中所有待处理告警的数量。

    安全告警处理页面默认展示所有待处理告警信息,更多详细内容请参见处理告警事件

    已处理告警事件

    展示您资产中所有已处理的告警事件数量。

    已拦截IP

    展示已拦截的IP。单击“已拦截IP”,可查看已拦截的IP地址列表。

    已拦截IP列表展示“服务器名称”“攻击源IP”“攻击类型”“拦截次数”“开始拦截时间”“最近拦截时间”“拦截时长”“拦截状态”

    如果您发现有合法IP被误封禁(比如运维人员因为记错密码,多次输错密码导致被封禁),可以手工解除拦截。如果发现某个主机被频繁攻击,需要引起重视,建议及时修补漏洞,处理风险项。

    须知:

    解除被拦截的IP后,主机将不会再拦截该IP地址对主机执行的操作。

    已隔离文件

    企业主机安全可对检测到的威胁文件进行隔离处理,被成功隔离的文件会添加到“事件管理”“文件隔离箱”中。

    被成功隔离的文件一直保留在文件隔离箱中,您可以根据自己的需要进行一键恢复处理,关于文件隔离箱的详细信息,请参见管理文件隔离箱

  4. 单击告警事件列表中的告警事件,可查看告警事件对应的受影响的服务器、发生时间等信息,如图3所示。

    • 全部:展示发生的总的告警数。
    • 告警事件:展示各告警事件发生的告警数。
    图3 告警事件统计数量

  5. 单击告警列表中的告警名称,可查看告警的详细信息,如图4所示。

    图4 告警详细信息

处理告警事件

当发生安全告警事件后,为了保障您的云服务器安全,可以根据以下方式处理安全告警事件。

由于网络攻击手段、病毒样本在不断演变,实际的业务环境也有不同差异,因此,无法保证能实时检测防御所有的未知威胁,建议您基于安全告警处理、漏洞、基线检查等安全能力,提升整体安全防线,预防黑客入侵、盗取或破坏业务数据。

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择安全与合规 > 企业主机安全,进入企业主机安全页面。

    图5 企业主机安全

  3. 在左侧导航栏,单击入侵检测 > 事件管理,进入事件管理页面。

    图6 事件管理

  4. 单击告警列表中的告警事件,勾选待处理的告警事件,单击“批量处理”,处理告警事件,如图7所示,处理方式如表2所示。

    您也可以单击告警名称所在行的“处理”,处理告警。

    图7 处理告警事件

    告警事件展示在“事件管理”页面中,事件管理列表仅展示最近30天的告警事件。

    您需要根据自己的业务需求,自行判断并处理告警。告警事件处理完成后,告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计,并且不在“总览”页展示。

    表2 处理告警事件

    处理方式

    处理方式说明

    忽略

    仅忽略本次告警。若再次出现相同的告警信息,HSS会再次告警。

    隔离查杀

    选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。

    您可以单击“文件隔离箱”,查看已隔离的文件,详细信息请参见管理文件隔离箱

    有以下两类告警事件支持线上隔离查杀。

    • 恶意程序(云查杀)
    • 进程异常行为
    说明:

    程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若隔离查杀有误报,您可以执行取消隔离/忽略操作。

    手动处理

    选择手动处理。您可以根据自己的需要为该事件添加“备注”信息,方便您记录手动处理该告警事件的详细信息。

    加入登录白名单

    如果确认“账号暴力破解”“账户异常登录”类型的告警事件是误报,且不希望HSS再上报该告警,您可以将本次登录告警事件加入登录白名单。

    HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后,若再次出现该登录事件,则HSS不会告警。

    加入告警白名单

    如果确认以下类型的告警事件是误报,且不希望HSS再上报该告警,您可以将本次告警事件加入告警白名单。

    HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后,若再次出现该告警事件,则HSS不会告警。

    • 反弹Shell
    • Webshell检测
    • 进程异常行为检测
    • 进程提权
    • 文件提权
    • 高危命令
    • 恶意程序

告警处理建议

告警名称

告警参数说明

处理建议

账户暴力破解

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 攻击源IP:攻击主机的IP地址。
  • 攻击类型:可拦截的攻击类型,包含mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。
  • 尝试破解次数:被尝试破解的次数。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

该告警事件需要您高度重视。

若接收到账户暴力破解告警通知,说明您的主机可能存在被暴力破解风险,包括但不限于以下这些情况:

  • 系统存在弱口令,同时正在遭受暴力破解攻击。
  • 数次口令输错(但未达到封禁源IP条件)后成功登录。

建议您立即确认源IP是否是已知的合法IP。

  • 若源IP合法。

    您可以“忽略”该次告警并手工解除IP封禁。或者“加入告警白名单”,该告警将不会再次触发。

  • 若源IP不合法,是未知IP,那么您的主机系统可能已经被黑客入侵成功。
    1. 建议您将该事件标记为“手动处理”
    2. 立即登录系统并修改并设置安全的账户密码。
    3. 通过账号信息管理和风险账户排查所有系统账户,对可疑账户进行处理,防止攻击者创建新的账户或者更改账户权限。
    4. 通过恶意程序(云查杀)排查系统是否被植入了恶意程序。针对恶意程序,请登录云主机,尽快结束其进程,阻止恶意程序运行。

账户异常登录

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 攻击类型:攻击的类型,包含mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。
  • 端口:被攻击的端口。
  • 主机:攻击者的IP地址。
  • 用户名:攻击者的用户名。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出账户异常登录,建议您立即确认该源IP是否是已知的合法IP。

  • 若源IP合法,您可以“忽略”该事件。

    如果该登录地是合法的常用登录地,您可以将该地区加入“常用登录地”列表。

  • 若该源IP不合法,是未知IP,那么您的主机系统已经被入侵成功,需要您高度重视。

    建议您将该事件标记为“手动处理”,并立即登录系统并修改账户密码,同时全面排查系统风险,避免系统遭受进一步破坏。

恶意程序(云查杀)

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 恶意程序路径:恶意程序的路径。
  • 哈希值:哈希值。
  • 文件权限:文件的权限。
  • 运行用户:运行该程序的用户。
  • 程序启动时间:程序启动的时间。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出存在恶意程序,建议您立即对该程序进行确认:

  • 若该程序属于正常业务,您可以“忽略”该事件;或者“加入告警白名单”,该告警将不会再次触发。
  • 若是未知程序或者经确认是恶意程序,建议立即执行进程查杀并隔离程序源文件。
    • 您可以对已检测出的恶意程序或疑似恶意程序,执行一键“隔离查杀”。或者将该事件标记为“手动处理”,立即登录系统终止该进程并全面排查系统风险,避免系统遭受进一步破坏。
    • HSS提供恶意程序自动隔离查杀功能,可对目前部分主流勒索病毒、DDOS木马等进行主动防护和主动隔离。

      建议您启用该功能,加固主机安全防线。详细操作请参见开启恶意程序自动隔离查杀

  • 若事后确认该程序是无害程序或者查杀该程序影响了业务,可以“取消隔离查杀”,或者从“文件隔离箱”中还原程序源文件。

进程异常行为

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 疑似恶意程序路径:疑似恶意程序的路径。
  • 文件权限:文件的权限。
  • PID:进程ID。
  • 命令行:启动异常进程的命令行。
  • 父进程PID:父进程的进程ID。
  • 父进程程序路径:父进程的程序路径。
  • 行为:该异常进程的行为,例如:高CPU。
  • 连接数:
  • CPU使用频率:CPU的使用频率。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出进程异常行为,建议您立即对该进程进行确认:

  • 若该进程属于正常业务,您可以“忽略”该事件;或者“加入告警白名单”,该告警将不会再次触发。
  • 若是未知进程或者经确认是恶意程序,建议立即执行进程查杀并隔离程序源文件。
    • 您可以对已检测出的恶意程序或疑似恶意程序,执行一键“隔离查杀”。或者将该事件标记为“手动处理”,立即登录系统终止该进程并全面排查系统风险,避免系统遭受进一步破坏。
    • HSS提供恶意程序自动隔离查杀功能,可对目前部分主流勒索病毒、DDOS木马等进行主动防护和主动隔离。

      建议您启用该功能,加固主机安全防线。详细操作请参见开启恶意程序自动隔离查杀

  • 若事后确认该程序是无害程序或者查杀该程序影响了业务,可以“取消隔离查杀”,或者从“文件隔离箱”中还原程序源文件。

关键文件变更

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 操作:对关键文件执行的操作。
  • 文件路径:被操作的关键文件的路径。
  • 移动到:移动到的路径。
  • 是否目录:操作的是否是目录,“true”或者“false”
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出关键文件变更,建议您立即对该变更进行确认:

  • 若合法,您可以“忽略”该告警。
  • 若不合法,关键文件被异常的读取、写入、删除等,确认非用户主动行为。

    建议您将该事件标记为“手动处理”,立即将该文件替换为操作系统的标准版本。并修改账户密码,同时全面排查系统风险,避免系统遭受进一步破坏。

网站后门

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 木马文件路径:木马所在的文件路径。
  • 发现时间:发现的时间。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出网站后门,建议您立即确认该文件是否合法。

  • 若合法,您可以“忽略”该告警;或者“加入告警白名单”,该告警将不会再次触发。
  • 若不合法,建议您将该事件标记为“手动处理”,并对该文件立即执行隔离

反弹/异常Shell

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 文件路径:文件的路径。
  • 详情:详情。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出反弹/异常Shell,建议您立即确认该反弹/异常Shell是否合法。

  • 若合法,您可以“忽略”该事件。
  • 若不合法,请将该事件标记为“手动处理”,建议您立即登录系统阻断非法连接或者命令执行,并全面排查系统风险,避免系统遭受进一步破坏。

高危命令执行

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 哈希值:哈希值。
  • PID:进程的ID。
  • 进程路径:进程的路径。
  • 进程命令:执行该进程的命令。
  • 父进程PID:父进程的ID。
  • 父进程路径:父进程的路径。
  • 父进程命令:执行父进程的命令。
  • 会话用户名:会话的用户名。
  • 运行用户:运行的用户。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出高危命令执行,建议您立即确认该高危命令执行是否合法。

  • 若合法,您可以“忽略”该事件;或者“加入告警白名单”,该告警将不会再次触发。
  • 若不合法,请将该事件标记为“手动处理”,建议您立即登录系统排查该命令所执行的操作,并全面排查系统风险,避免系统遭受进一步破坏。

自启动检测

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 服务名:自启动服务的名称。
  • 路径:自启动服务的路径。
  • 类型:自启动的类型。
  • 事件类型:事件的类型。
  • 运行用户:运行的用户。
  • 文件HASH:文件的HASH。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出新增自启动项,需要用户自行判断该自启动是否合法。

  • 若合法,您可以“忽略”该事件;或者“加入告警白名单”,该告警将不会再次触发。
  • 若不合法,请将该事件标记为“手动处理”,建议您立即登录系统删除非法自启动项目,并全面排查系统风险,避免系统遭受进一步破坏。

风险账户

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 账号名:风险账号的名称。
  • 用户组:风险账号所在的用户组。
  • UID/SID:UID/SID。
  • 用户目录:用户的目录。
  • 用户启动Shell:用户启动的Shell。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出风险账号,建议您立即确认该账号是否合法。

  • 若合法,您可以“忽略”该事件。
  • 若不合法,请将该事件标记为“手动处理”,建议执行以下操作:
    • 删除可疑账号

      删除主机中无用的系统登录账号,如SSH账号。

      删除主机中MySQL、FTP使用的无用的账号。

    • 限制账号权限

      通过限制关键配置项,限制非管理员的文件访问权限和文件修改权限,防止未授权的访问权限和使用操作。

提权操作

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • 提权方式:提权的方式。
  • 提权文件路径:提权文件的路径。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出提权操作,建议您立即确认该提权操作是否合法。

  • 若合法,您可以“忽略”该事件。
  • 若不合法,请将该事件标记为“手动处理”,建议您立即登录系统阻止非法创建和修改系统账号或者篡改文件的行为,并全面排查系统风险,避免系统遭受进一步破坏。

Rootkit程序

  • 服务器名称:云服务器的名称。
  • IP地址:受影响服务器的IP地址。
  • Rootkit名称:Rootkit的名称。
  • 子模块名称:子模块的名称。
  • 特征:Rootkit程序特征。
  • 状态:处理告警事件的状态,“已处理”或者“未处理”

若检测出Rootkit程序安装,建议您立即确认该Rootkit安装是否合法。

  • 若合法,您可以“忽略”该事件。
  • 若不合法,请将该事件标记为“手动处理”,建议您立即登录系统终止该Rootkit安装行为,并全面排查系统风险,避免系统遭受进一步破坏。
分享:

    相关文档

    相关产品

关闭导读