主机安全可对您已开启的告警防御能力提供总览数据,帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。
事件列表仅保留近30天内发生的告警事件,您可以根据自己的业务需求,自行判断并处理告警,快速清除资产中的安全威胁。
告警事件处理完成后,告警事件将从“未处理”状态转化为“已处理”。
约束与限制
- 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell,您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后,HSS不对策略组关联的服务器进行检测。
- 其他检测项不允许手动关闭检测。
- 未开启防护不支持告警事件相关操作。
操作步骤
当发生安全告警事件后,为了保障您的云服务器安全,可以根据以下方式处理安全告警事件。
注意由于网络攻击手段、病毒样本在不断演变,实际的业务环境也有不同差异,因此,无法保证能实时检测防御所有的未知威胁,建议您基于安全告警处理、漏洞、基线检查等安全能力,提升整体安全防线,预防黑客入侵、盗取或破坏业务数据。
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、在左侧导航栏中,单击“入侵检测 > 安全告警事件 > 主机安全告警”,进入“主机安全告警”页面。
安全告警统计说明
| 参数名称 | 告警事件状态说明 |
|---|---|
| 时间范围 | 支持选择固定周期,固定周期可选择如下: 最近24小时 最近3天 最近7天 最近30天 |
| 主机安全告警 | 存在告警的服务器 |
| 待处理告警事件 | 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 |
| 已处理告警事件 | 展示您资产中所有已处理的告警事件数量。 |
| 已拦截IP | 展示已拦截的IP。单击“已拦截IP”,可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁(比如运维人员因为记错密码,多次输错密码导致被封禁),可以手工解除拦截。如果发现某个主机被频繁攻击,需要引起重视,建议及时修补漏洞,处理风险项。 须知 : 解除被拦截的IP后,主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset,mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny,ssh最多拦截50个ip。 |
| 已隔离文件 | 主机安全可对检测到的威胁文件进行隔离处理,被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中,您可以根据自己的需要进行一键恢复处理,关于文件隔离箱的详细信息,请参见管理文件隔离箱。 |
| 容器安全告警 | 存在告警的服务器 |
| 待处理告警事件 | 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 |
| 已处理告警事件 | 展示您资产中所有已处理的告警事件数量。 |
| 威胁等级 | 将被告警按照不同等级进行统计:致命 、 高危 、 中危 、 低危。 |
| TOP5事件类型 | 展示数量最多的前五种告警类型及数量。 |
4、处理告警事件。
注意告警事件展示在“主机安全告警”页面中,事件列表仅展示最近30天的告警事件。
您需要根据自己的业务需求,自行判断并处理告警。告警事件处理完成后,告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计,并且不在“总览”页展示。
方式一:批量处理勾选的告警
- 任意选中“事件类型”,在事件列表勾选多个目标告警,单击“事件列表”下方的“批量处理”。
- 在弹窗中选择处理方式,确认无误,单击“确认”,完成勾选告警处理,处理方式详情如下表所示。
方式二:处理单个告警
- 选中目标“事件类型”,单击目标告警事件“操作”类的“处理”。选中目标“事件类型”,单击目标告警事件“操作”类的“处理”。
- 在弹窗中选择处理方式,确认无误,单击“确认”,完成单个告警处理,处理方式详情如下表所示。
处理告警事件说明
| 处理方式 | 处理方式说明 |
|---|---|
| 忽略 | 仅忽略本次告警。若再次出现相同的告警信息,HSS会再次告警。 |
| 隔离查杀 | 选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。 您可以单击“文件隔离箱”,查看已隔离的文件,详细信息请参见管理文件隔离箱。 程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若隔离查杀有误报,您可以执行取消隔离/忽略操作。 |
| 手动处理 | 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息,方便您记录手动处理该告警事件的详细信息。 |
| 加入登录白名单 | 如果确认“暴力破解”和“异常登录”类型的告警事件是误报,且不希望HSS再上报该告警,您可以将本次登录告警事件加入登录白名单。 HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后,若再次出现该登录事件,则HSS不会告警。 有以下告警事件支持加入登录白名单。 暴力破解 异常登录 |
| 加入告警白名单 | 如果确认以下类型的告警事件是误报,且不希望HSS再上报该告警,您可以将本次告警事件加入告警白名单。 HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后,若再次出现该告警事件,则HSS不会告警。 |
