什么是主机安全告警事件

什么是主机安全告警事件?

主机安全支持账户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等入侵检测能力,用户可通过事件管理全面了解告警事件类型,帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。


主机安全可对您已开启的告警防御能力提供总览数据,帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。

● 事件列表仅保留近30天内发生的告警事件,您可以根据自己的业务需求,自行判断并处理告警,快速清除资产中的安全威胁。

● 告警事件处理完成后,告警事件将从“未处理”状态转化为“已处理”。


约束与限制:

● 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell,您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后,HSS不对策略组关联的服务器进行检测,详细信息请参见查看和创建策略组

● 其他检测项不允许手动关闭检测。

免费体验 立即购买

怎么处理主机安全告警事件

当发生安全告警事件后,为了保障您的云服务器安全,可以根据以下方式处理安全告警事件。

说明:

由于网络攻击手段、病毒样本在不断演变,实际的业务环境也有不同差异,因此,无法保证能实时检测防御所有的未知威胁,建议您基于安全告警处理、漏洞、基线检查等安全能力,提升整体安全防线,预防黑客入侵、盗取或破坏业务数据。


操作步骤

1、登录管理控制台,在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。

2、在弹窗界面单击“体验新版”,切换至主机安全服务页面。

3、在左侧导航栏中,单击“入侵检测 > 安全告警事件 > 主机安全告警”,进入“主机安全告警”页面。

安全告警统计说明

告警事件状态
告警事件状态说明

存在告警的服务器

展示存在告警的服务器数量。

待处理告警事件

展示您资产中所有待处理告警的数量。

安全告警处理页面默认展示所有待处理告警信息,更多详细内容请参见主机告警事件类型说明。

已处理告警事件

展示您资产中所有已处理的告警事件数量。

已拦截IP

展示已拦截的IP。单击“已拦截IP”,可查看已拦截的IP地址列表。

已拦截IP列表展示“服务器名称”、“攻击源IP”、“攻击类型”、“拦截次数”、“开始拦截时间”、“最近拦截时间”、“拦截时长”和“拦截状态”。

如果您发现有合法IP被误封禁(比如运维人员因为记错密码,多次输错密码导致被封禁),可以手工解除拦截。如果发现某个主机被频繁攻击,需要引起重视,建议及时修补漏洞,处理风险项。


须知:解除被拦截的IP后,主机将不会再拦截该IP地址对主机执行的操作。

已隔离文件

主机安全可对检测到的威胁文件进行隔离处理,被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。

被成功隔离的文件一直保留在文件隔离箱中,您可以根据自己的需要进行一键恢复处理,关于文件隔离箱的详细信息,请参见管理文件隔离箱

4、处理告警事件。

说明:

● 告警事件展示在“主机安全告警”页面中,事件列表仅展示最近30天的告警事件。

● 您需要根据自己的业务需求,自行判断并处理告警。告警事件处理完成后,告警事件将从“未处理”状态变更为“已处理”。主机安全将不再对已处理的事件进行统计,并且不在“总览”页展示。

▶批量处理全量告警

(1)通过“事件类型”选中需要全量处理的告警项,单击“事件列表”下方的“批量处理”。

(2)在弹窗中选择处理方式,确认无误,单击“确认”,完成全量告警处理。

说明:批量处理后的告警无法进行二次批量处理,若需二次处理告警事件,只能逐条处理。

▶批量处理勾选的告警

(1)任意选中“事件类型”,在事件列表勾选多个目标告警,单击“事件列表”下方的“批量处理”。

(2)在弹窗中选择处理方式,确认无误,单击“确认”,完成勾选告警处理。

▶处理单个告警

(1)选中目标“事件类型”,单击目标告警事件“操作”类的“处理”。

(2)在弹窗中选择处理方式,确认无误,单击“确认”,完成单个告警处理。

处理主机安全告警的方式有哪些

处理方式
处理方式说明

忽略

仅忽略本次告警。若再次出现相同的告警信息,HSS会再次告警。

隔离查杀

选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。

您可以单击“文件隔离箱”,查看已隔离的文件,详细信息请参见管理文件隔离箱。

有以下告警事件支持线上隔离查杀。

● 恶意程序

● Webshell

● 勒索软件

● 进程异常行为


说明:程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若隔离查杀有误报,您可以执行取消隔离/忽略操作。

手动处理

选择手动处理。您可以根据自己的需要为该事件添加“备注”信息,方便您记录手动处理该告警事件的详细信息。

加入登录白名单

如果确认“账号暴力破解”和“账户异常登录”类型的告警事件是误报,且不希望主机安全再上报该告警,您可以将本次登录告警事件加入登录白名单。

主机安全不会对登录白名单内的登录事件上报告警。加入登录白名单后,若再次出现该登录事件,则主机安全不会告警。

有以下告警事件支持加入登录白名单。

● 暴力破解

● 异常登录

加入告警白名单

如果确认以下类型的告警事件是误报,且不希望主机安全再上报该告警,您可以将本次告警事件加入告警白名单。

主机安全不会对告警白名单内的告警事件上报告警。加入告警白名单后,若再次出现该告警事件,则HSS不会告警。

有以下告警事件支持加入告警白名单。

● 反弹Shell

● 勒索软件

● 恶意程序

● Webshell

● 进程异常行为

● 进程提权

● 文件提权

● 高危命令执行

● 恶意软件

● 关键文件变更

● 文件/目录变更

● 异常Shell

● Crontab可疑任务

● 非法系统帐号

● 一般漏洞利用

● Redis漏洞利用

● Hadoop漏洞利用

● MySQL漏洞利用

为您推荐

快速了解主机安全

通过主机安全检查主机配置基线

通过主机安全修复漏洞

云服务器和云产品限时领取免费试用,每位新用户仅限一次

立即试用