告警中心用于汇总展示所有入侵检测模块的告警信息，帮助用户快速了解整体安全告警概况。包括需紧急处理的告警、待处理告警、已处理告警；存在告警的服务器、已隔离文件、已拦截IP。

前提条件

入侵检测防护模块已开启防护，详细操作请参见安全配置。

查看告警

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“入侵检测 > 告警中心”，进入告警中心页面。

3. 在页面右上角选择查询告警的时间范围。

   • 支持选择固定周期：最近24小时、最近3天、最近7天、最近30天。

   • 也可以自定义时间范围，自定义只能选择30天范围内。

4. 查看告警统计信息。页面上方展示所有入侵检测模块告警的统计情况。

   统计项	说明	操作
   需紧急处理的告警	展示在选择的时间范围内，告警等级为“高危”且“待处理”告警数量。	单击“需紧急修复的告警”的数值，页面下方告警列表将展示告警等级为“高危”且“待处理”的告警。
   待处理告警	展示在选择的时间范围内，所有的“待处理”告警个数统计。	单击“待处理告警”的数值，页面下方告警列表将展示所有“待处理”的告警。
   已处理告警	展示在选择的时间范围内，所有的“已处理”告警个数统计。	单击“已处理告警”的数值，页面下方告警列表将展示所有“已处理”的告警。
   存在告警的服务器	展示在选择的时间范围内，存在告警的服务器个数（展示去重后的个数）。	单击“存在告警的服务器”的数值，页面下方告警列表将展示“待处理”的告警，且每个服务器只展示一条告警（告警展示优先级按照告警等级进行展示，高>中>低，相同等级按照时间最近展示）。
   已隔离文件	展示在选择的时间范围内，已隔离的文件个数（展示去重后的个数）。	单击“已隔离文件”的数值，页面下方告警列表将展示“已处理”的告警，且每个文件只展示一条告警（按照时间最近优先展示）。
   已拦截IP	展示在选择的时间范围内，暴力破解阻断状态为“阻断成功”的IP个数（展示去重后的个数）。	单击“已拦截IP”的数值，页面下方告警列表将展示“已处理”的告警，且每个IP只展示一条告警（按照时间最近优先展示）。

5. 选择告警分类，支持根据“ATT&CK攻击阶段”或“告警类型”查看告警统计信息。

   • ATT&CK攻击阶段：展示在选择的时间范围内不同攻击标识的“待处理”告警个数统计。

     ATT&CK攻击阶段	说明
     侦察	攻击者收集您的网络或系统中的信息，尝试发现漏洞，以找到攻击入口。
     初始访问	攻击者尝试进入您的网络或系统。
     执行	攻击者成功进入您的系统，尝试运行恶意软件或命令，以进一步控制系统或窃取数据。
     持久化	攻击者采取措施以确保其在系统中的持久存在，以便在需要时重新访问或继续攻击。 可能涉及设置后门、修改系统配置、利用系统漏洞等。
     权限提升	攻击者尝试从普通用户权限提升为管理员或系统权限，以便控制整个系统。
     防御绕过	攻击者尝试使用各种技术来绕过安全防御措施，避免被检测到。 如使用混淆加密技术对恶意软件进行二次封装、利用系统漏洞进行攻击等。
     凭据访问	攻击者收集系统中的敏感数据，如账号名称和密码。
     命令与控制	攻击者尝试建立与被攻击机器的通信渠道，以便远程控制机器上的恶意软件或执行其他攻击操作。
     影响破坏	攻击者利用收集到的数据或控制的系统，尝试对您的系统造成损害，如数据泄露、系统瘫痪等。

   • 告警类型：展示在选择的时间范围内不同告警类型的“待处理”告警个数统计。

     告警类型	说明
     异常登录	检测“异地登录”和“爆破登录”，如果发生异常登录，则说明您的主机可能被黑客入侵成功。 通过配置异常登录白名单，将常用登录地、常用登录IP等添加至白名单中，非白名单中的登录操作，将被视为异常登录。
     暴力破解	系统默认阻断尝试暴力破解（在短时间内多次登录失败）的登录IP。 通过配置暴力破解白名单，将可信任的IP添加至白名单中。
     后门检测	检测云主机中存在的后门并进行告警，支持告警的类型包括存在可疑文件、存在可疑可执行文件、存在木马文件、Dev目录异常、存在可疑进程、存在异常端口、存在网卡异常。
     可疑操作	检测云主机上的可疑操作并进行告警，系统提供默认检测规则，用户也可以自定义检测规则。
     反弹Shell	检测用户的进程行为，支持对非法连接进程的行为进行告警。
     进程提权	检测进程提权操作并进行告警。
     WebShell	检测服务器Web目录下的文件内容，发现Web网站中存在的后门文件，若检测出后门文件，系统会向您提供实时告警。
     端口蜜罐	通过部署蜜罐，实时监听攻击者对蜜罐端口的扫描行为，若发现异常扫描行为，系统会向您提供实时告警。

6. 查看告警列表，告警列表展示如下信息。

   参数	说明
   告警等级	告警的等级，包括高危、中危、低危。
   告警名称	告警的名称。
   告警类型	告警的类型，包括异常登录、暴力破解、后门检测、可疑操作、反弹Shell、进程提权、WebShell、端口蜜罐。
   攻击标识	ATT&CK攻击阶段，包括侦察、初始访问、执行、持久化、权限提升、防御绕过、凭据访问、命令与控制、影响破坏。
   影响资产	受影响的服务器，展示名称和IP地址。
   发现时间	告警发现时间。
   状态	分为已处理和未处理。

处置告警

您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。告警处理完成后，告警的状态将从“未处理”变为“已处理”。

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“入侵检测 > 告警中心”，进入告警中心页面。

3. 在页面下方的告警列表中，单击告警操作列的“处置”，将进入对应入侵检测页面。

   

4. 根据告警类型对告警进行处理，详细操作及说明请参见：

   • 处理异常登录事件

   • 处理暴力破解事件

   • 处理后门检测告警

   • 处理可疑操作事件

   • 处理反弹Shell告警

   • 处理进程提权告警

   • 处理Webshell告警

   • 处理端口蜜罐告警

导出告警

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“入侵检测 > 告警中心”，进入告警中心页面。

3. 单击告警列表右上角的“导出”图标，导出告警。

   如果您只需要导出某个ATT&CK攻击阶段的告警或某一类告警，您可以先选中相应的ATT&CK攻击阶段或告警事件类型，再单击“导出”图标。

   

4. 页面右上角会显示导出状态，当导出完成后，单击“下载”，将告警列表下载到本地。

   注意

   若“关闭”页面，此时告警列表还未下载到本地，若需要下载，则需要重新导出。