在运行态告警页面,用户可以查看已开启防护的容器的实时检测告警,并对告警进行处理。
查看运行态告警信息
-
登录容器安全卫士控制台。
-
在左侧导航栏,选择“告警响应 > 运行态检测”,进入运行态检测页面。
-
“ATT&CK”告警视图采用ATT&CK的威胁分析框架,从攻击者初始访问到最后产生的影响进行全方位的分析。
-
“常见入侵行为”告警视图,支持反弹shell、本地提权、暴力破解、恶意命令执行、病毒查杀、容器逃逸常见入侵行为视角。
-
单击视图右上角的“收起”按钮或者向下滑动页面,可查看运行态告警列表。系统默认筛选出“未处理”的报警。
-
运行态告警列表内,支持按照“报警级别”、“报警类型”、“报警名称”、“集群名称”、“受影响的节点”、“受影响的命名空间”、“受影响的容器”、“受影响的服务”、“状态”、“目的IP”、“目的端口”、“源IP”、“源端口”、“MD5”、“镜像名称”进行筛选查询,且“报警类型”、“报警名称”等筛选项支持模糊匹配。
运行态告警信息参数说明:
参数 说明 报警名称 单击报警名称,进入告警详情页面,可以查看具体的报警原因。 报警级别 分为紧急、异常、提示这三种级别。 报警类型 分为命令执行、读写文件、网络活动、容器安全、集群异常、主机异常、文件内容这几种类型。 集群名称 发生报警的集群名称。 受影响的节点 受影响的节点名称。 受影响的命名空间 受影响的命名空间名称。 受影响的容器(服务) 受影响的容器或服务的名称。 首次发现时间 首次发现报警事件的时间。 最近发现时间 最近一次发现报警事件的时间。 状态 状态分为已处理和未处理。 -
单击告警名称,跳转至告警详情,可查看当前告警的基本信息及告警原因。
处理告警
-
登录容器安全卫士控制台。
-
在左侧导航栏,选择“告警响应 > 运行态告警”,进入运行态告警页面。
-
根据需要选择“ATT&CK”告警视图或“常见入侵行为”告警视图。
-
单击告警列表操作列的“处理”,或单击报警名称进入告警详情页面后,单击“立即处理”按钮,进入处理告警页面,对本条告警进行处理。
选择处理方式:
- 若判断当前报警为误报,则可将其“加入白名单”或“标记为已处理”。
- 非误报信息可以选择“隔离Pod”、“重启Pod”、“暂停容器”。
-
选择处理方式后单击“保存”,即可完成告警处理。