告警中心用于汇总展示所有入侵检测模块的告警信息,帮助用户快速了解整体安全告警概况。包括需紧急处理的告警、待处理告警、已处理告警;存在告警的服务器、已隔离文件、已拦截IP。
前提条件
入侵检测防护模块已开启防护,详细操作请参见安全配置。
查看告警
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“入侵检测 > 告警中心”,进入告警中心页面。
在页面右上角选择查询告警的时间范围。
支持选择固定周期:最近24小时、最近3天、最近7天、最近30天。
也可以自定义时间范围,自定义只能选择30天范围内。
查看告警统计信息。页面上方展示所有入侵检测模块告警的统计情况。
| 统计项 | 说明 | 操作 |
|---|---|---|
| 需紧急处理的告警 | 展示在选择的时间范围内,告警等级为“高危”且“待处理”告警数量。 | 单击“需紧急修复的告警”的数值,页面下方告警列表将展示告警等级为“高危”且“待处理”的告警。 |
| 待处理告警 | 展示在选择的时间范围内,所有的“待处理”告警个数统计。 | 单击“待处理告警”的数值,页面下方告警列表将展示所有“待处理”的告警。 |
| 已处理告警 | 展示在选择的时间范围内,所有的“已处理”告警个数统计。 | 单击“已处理告警”的数值,页面下方告警列表将展示所有“已处理”的告警。 |
| 存在告警的服务器 | 展示在选择的时间范围内,存在告警的服务器个数(展示去重后的个数)。 | 单击“存在告警的服务器”的数值,页面下方告警列表将展示“待处理”的告警,且每个服务器只展示一条告警(告警展示优先级按照告警等级进行展示,高>中>低,相同等级按照时间最近展示)。 |
| 已隔离文件 | 展示在选择的时间范围内,已隔离的文件个数(展示去重后的个数)。 | 单击“已隔离文件”的数值,页面下方告警列表将展示“已处理”的告警,且每个文件只展示一条告警(按照时间最近优先展示)。 |
| 已拦截IP | 展示在选择的时间范围内,暴力破解阻断状态为“阻断成功”的IP个数(展示去重后的个数)。 | 单击“已拦截IP”的数值,页面下方告警列表将展示“已处理”的告警,且每个IP只展示一条告警(按照时间最近优先展示)。 |
选择攻击阶段分类,支持根据“ATT&CK攻击阶段”查看攻击阶段信息。
ATT&CK攻击阶段 | 说明 |
|---|---|
初始入口 | 攻击者尝试进入您的网络或系统。 |
代码执行 | 攻击者成功进入您的系统,尝试运行恶意软件或命令,以进一步控制系统或窃取数据。 |
持久化 | 攻击者采取措施以确保其在系统中的持久存在,以便在需要时重新访问或继续攻击。 可能涉及设置后门、修改系统配置、利用系统漏洞等。 |
权限提升 | 攻击者尝试从普通用户权限提升为管理员或系统权限,以便控制整个系统。 |
防御绕过 | 攻击者尝试使用各种技术来绕过安全防御措施,避免被检测到。 如使用混淆加密技术对恶意软件进行二次封装、利用系统漏洞进行攻击等。 |
凭据窃取 | 攻击者收集系统中的敏感数据,如账号名称和密码。 |
| 发现 | 发现攻击者攻击IP、攻击类型以及扫描的端口。 |
命令与控制 | 攻击者尝试建立与被攻击机器的通信渠道,以便远程控制机器上的恶意软件或执行其他攻击操作。 |
影响破坏 | 攻击者利用收集到的数据或控制的系统,尝试对您的系统造成损害,如数据泄露、系统瘫痪等。 |
查看告警信息
| 参数 | 说明 |
|---|---|
| 紧急程度 | 告警的紧急程度,包括紧急、可疑、提醒。 |
| 告警名称 | 攻击类型的告警名称。 |
| 告警摘要 | 告警内容的简要描述。 |
| 告警类型 | 告警的类型,包括异常登录、暴力破解、后门检测、可疑操作、反弹Shell、进程提权、WebShell、端口蜜罐等。 |
| 影响资产 | 受影响的服务器,展示名称和IP地址。 |
| 攻击阶段 | ATT&CK攻击阶段,包括初始入口、代码执行、持久化、权限提升、防御绕过、凭据窃取、发现、收集、命令与控制、影响破坏。 |
| 最新发现时间 | 告警发现时间。 |
| 状态 | 告警的处理状态,可分为两大类:未处理、已处理。 其中已处理细分为:已加白、已忽略、已隔离、已拦截。 |
处置告警
您可以根据自己的业务需求,自行判断并处理告警,快速清除资产中的安全威胁。告警处理完成后,告警的状态将从“未处理”变为“已处理”。
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“入侵检测 > 告警中心”,进入告警中心页面。
在页面下方的告警列表中,单击告警操作列的“详情”,可在弹出的对话框中查看告警详情。
核对告警信息,单击弹窗下方的“处理”按钮,根据业务实际需求处理告警。
在弹出的告警处理对话框中,选择告警处理方式。
加白名单:选择加白名单,告警状态将变为已加白,加白时可选择“全部服务器”或“自选服务器”。
文件隔离:选择隔离文件,告警状态将变为已隔离。
忽略:选择忽略,告警状态将变为已忽略。
填写备注后,单击“提交”即可完成告警处理。
导出告警
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“入侵检测 > 告警中心”,进入告警中心页面。
单击告警列表右上角的“导出”按钮,导出告警。
如果您只需要导出某个ATT&CK攻击阶段的告警或某一类告警,您可以先选中相应的ATT&CK攻击阶段或告警事件类型,再单击“导出”按钮。
页面右上角会显示导出状态,当导出完成后,单击“下载”,将告警列表下载到本地。
注意
若“关闭”页面,此时告警列表还未下载到本地,若需要下载,则需要重新导出。
