查看Serverless资产安全告警

约束限制

未开启防护的服务器不支持告警事件相关操作。

查看Serverless资产安全告警

1. 登录企业主机安全控制台。
2. 在控制台左上角，单击图标，选择区域或项目。
3. 在左侧导航栏中选择“检测与响应 > 安全告警事件 > Serverless安全告警”，进入“Serverless安全告警”页面，查看Serverless告警事件信息。

   表1 Serverless安全告警统计说明

   参数名称	参数说明
   需紧急处理告警/总数	需紧急处理告警的数量和告警总数；单击相应数值可查看对应的告警事件列表。
   已处理告警事件	展示已经处理完成的告警事件数量。
   存在告警的实例	展示存在告警的Serverless资产数量。

   • 根据告警类型或ATT&CK攻击阶段查看告警列表

     在“待处理告警”栏，选择告警类型或ATT&CK攻击阶段，查看同类告警列表。关于ATT&CK攻击阶段的含义请参见表 ATT&CK攻击阶段说明。

     

     ATT&CK的全称为Adversarial Tactics, Techniques, and Common Knowledge，它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型。

     表2 ATT&CK攻击阶段说明

     ATT&CK攻击阶段	说明
     侦察	攻击者尝试发现您的系统或网络中的漏洞。
     初始访问	攻击者尝试进入您的系统或网络。
     执行	攻击者尝试运行恶意代码。
     持久化	攻击者尝试保持住它们入侵的进攻点。
     权限提升	攻击者尝试获取更高等级的权限。
     防御绕过	攻击者尝试避免被检测到。
     凭据访问	攻击者尝试盗取账号名称和密码。
     命令与控制	攻击者尝试与被攻击的机器通信并对其进行控制。
     影响破坏	攻击者尝试操控，中断或者破坏您的系统或者数据。

   • 查看Serverless资产告警事件详细信息

     单击目标告警事件的告警名称，进入告警事件详情页，可查看告警说明及处置建议、HSS调查取证发现的告警路径/地址、相似告警处置记录等。告警信息说明如表 告警详细信息参数说明所示。

     

     对于部分HSS已确定为恶意软件的告警，HSS会将告警源文件保存在云端中心，支持下载。您可以将告警源文件下载到本地进行分析查看，告警源文件压缩包解压密码为“unlock”。

     对于未确认为恶意软件的告警，暂不支持告警源文件下载，您需要根据实际业务情况判断文件是否为恶意文件或误报。

     表3 告警详细信息参数说明

     参数名称	参数说明
     防护引擎	HSS采用的检测引擎，包括病毒检测引擎、AI检测引擎、恶意情报检测引擎。
     攻击状态	当前威胁攻击服务器的状态。
     首次告警发生时间	首次发生攻击告警的时间。
     告警ID	告警的唯一ID。
     Att&CK阶段	攻击者在各阶段用到的攻击技术模型，详细说明请参见表 ATT&CK攻击阶段说明。
     最新告警发生时间	最新发生攻击告警的时间。
     告警信息	告警的详细信息说明，包括告警说明、告警摘要、受影响资产和处置建议。
     调查取证	HSS根据告警类型调查到的攻击触发路径或病毒类型等信息，帮助您快速排查溯源定位处理攻击源。 进程树：当告警事件含进程信息时，调查取证栏目会展示进程树。进程树信息包含进程ID、进程名称、进程文件命令行等信息，您可以根据这些进程信息定位恶意进程。 容器取证信息：当告警事件含容器信息时，调查取证栏目会展示容器取证信息。容器取证信息包含实例名称、实例IP、集群名称、集群IP、镜像名称以及镜像版本等信息。您可以根据这些信息定位容器风险。
     相似告警	与本次告警的主机和事件类型相同的告警。您可以根据相似告警的处置方法处理本次告警。