告警中心用于汇总展示所有入侵检测模块的告警信息,帮助用户快速了解整体安全告警概况。包括需紧急处理告警、待处理告警、已处理告警;存在告警的服务器、已拦截文件、已拦截IP。
前提条件
入侵检测防护模块已开启防护,详细操作请参见安全配置。
查看告警
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“入侵检测 > 告警中心”,进入告警中心页面。
-
选择查询告警的时间范围。
- 支持选择固定周期:最近24小时、最近3天、最近7天、最近30天。
- 也可以自定义时间范围,自定义只能选择30天范围内。
-
查看告警统计信息。页面上方展示所有入侵检测模块告警的统计情况。
统计项 说明 操作 需紧急处理的告警 展示在选择的时间范围内,告警等级为“高危”且“待处理”告警数量。
单击“需紧急修复的告警”的数值,页面下方告警列表将展示告警等级为“高危”且“待处理”的告警。 待处理告警 展示在选择的时间范围内,所有的“待处理”告警个数统计。
单击“待处理告警”的数值,页面下方告警列表将展示所有“待处理”的告警。 已处理告警 展示在选择的时间范围内,所有的“已处理”告警个数统计。 单击“已处理告警”的数值,页面下方告警列表将展示所有“已处理”的告警。 存在告警的服务器 展示在选择的时间范围内,存在告警的服务器个数(展示去重后的个数)。
单击“存在告警的服务器”的数值,页面下方告警列表将展示“待处理”的告警,且每个服务器只展示一条告警(告警展示优先级按照告警等级进行展示,高>中>低,相同等级按照时间最近展示)。
已隔离文件 展示在选择的时间范围内,已隔离的文件个数(展示去重后的个数)。
单击“已隔离文件”的数值,页面下方告警列表将展示“已处理”的告警,且每个文件只展示一条告警(按照时间最近优先展示)。
已拦截IP 展示在选择的时间范围内,暴力破解阻断状态为“阻断成功”的IP个数(展示去重后的个数)。 单击“已拦截IP”的数值,页面下方告警列表将展示“已处理”的告警,且每个IP只展示一条告警(按照时间最近优先展示)。 -
选择告警分类,支持根据“ATT&CK攻击阶段”或“告警类型”查看告警统计信息。
- ATT&CK攻击阶段:展示在选择的时间范围内不同攻击标识的“待处理”告警个数统计。
- 告警类型:展示在选择的时间范围内不同告警类型的“待处理”告警个数统计。
-
查看告警列表,告警列表展示如下信息。
参数 说明 告警等级 告警的等级,包括高危、中危、低危。 告警名称 告警的名称。 告警类型 告警的类型,包括异常登录、暴力破解、后门检测、可疑操作、反弹Shell、进程提权、WebShell、端口蜜罐。 攻击标识 ATT&CK攻击阶段,包括侦察、初始访问、执行、持久化、权限提升、防御绕过、凭据访问、命令与控制、影响破坏。 影响资产 受影响的服务器,展示名称和IP地址。 发现时间 告警发现时间。 状态 分为已处理和未处理。
处置告警
您可以根据自己的业务需求,自行判断并处理告警,快速清除资产中的安全威胁。告警处理完成后,告警的状态将从“未处理”变为“已处理”。
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“入侵检测 > 告警中心”,进入告警中心页面。
-
在页面下方的告警列表中,单击告警操作列的“处置”,将进入对应入侵检测页面。
-
根据告警类型对告警进行处理,详细操作及说明请参见:
导出告警
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航栏,选择“入侵检测 > 告警中心”,进入告警中心页面。
-
单击告警列表右上角的“导出”图标,导出告警。
如果您只需要导出某个ATT&CK攻击阶段的告警或某一类告警,您可以先选中相应的ATT&CK攻击阶段或告警事件类型,再单击“导出”图标。
-
页面右上角会显示导出状态,当导出完成后,单击“下载”,将告警列表下载到本地。
注意若“关闭”页面,此时告警列表还未下载到本地,若需要下载,则需要重新导出。
