查看安全告警

1. 登錄云安全中心控制臺。在控制臺左上角，選擇需防護資產所在的區域：中國或全球（不含中國）。

2. 在左側導航欄，選擇檢測響應 > 安全告警處理。

3. 在安全告警處理頁面，查看安全告警。

   快速篩選告警

   云安全中心提供多種搜索組件，方便您快速篩選出需要查詢的告警。

   • 通過資產類型篩選告警

     僅旗艦版支持該操作，其他版本均不支持。在告警列表上方，單擊全部、主機、容器、K8S或云產品，查看對應資產類型的告警。

   • 通過告警列表上方提供的緊急程度、是否已處理等組件篩選。

     例如，您可以將搜索條件是否已處理設置為已處理，狀態設置為攔截成功，查看由云安全中心為您自動攔截的常見網絡病毒。

   • 通過告警列表左側的告警類型或攻擊階段菜單篩選。

     攻擊階段展示了病毒攻擊的不同階段，您可以通過告警名稱列的攻擊階段標記獲取當前服務器受到病毒攻擊的階段，幫助您快速掌握資產的安全狀態。

   查看告警詳情

   單擊告警名稱或者在告警的操作列單擊詳情，打開告警的詳情頁面。在告警詳情頁面，您可以查看告警的基礎信息、受影響資產、事件說明等信息，并結合AI告警分析對告警信息的詳細說明，判斷并處理告警。

   說明

   不同告警詳情頁面展示的信息不同，請以實際頁面顯示為準。

   • 查看受影響資產

     單擊受影響資產名稱，可跳轉到對應資產的詳情頁面，方便您集中查看該資產的全部告警信息、漏洞信息、基線檢查漏洞和資產指紋等信息。

   • 查看告警原因

     在事件說明區域，查看告警出現的原因和處置建議。

   告警攻擊溯源

   說明

   • 僅企業版和旗艦版支持該功能。

   • 云安全中心會在檢測到威脅后10分鐘，生成自動化攻擊溯源的鏈路。建議您在告警發生10分鐘后，再查看該告警相關的攻擊溯源信息。

   • 安全告警觸發后超過3個月，該告警的自動化攻擊溯源信息將被自動清除。請您及時查看告警事件的攻擊溯源信息。

   云安全中心支持自動化攻擊溯源，可對攻擊事件進行自動化溯源并提供原始數據預覽。攻擊溯源功能結合多種云產品日志，通過大數據分析引擎對數據進行加工、聚合、可視化，形成攻擊者入侵的鏈路圖，幫助您在最短時間內定位入侵原因和制定應急策略。攻擊溯源適用于云環境下的Web入侵、蠕蟲事件、勒索病毒、主動連接惡意下載源等場景的應急響應與溯源。

   在告警列表中定位到需要進行告警攻擊溯源的告警，在告警名稱列單擊溯源圖標，或單擊告警操作列的詳情，在溯源區域查看溯源可視圖。在溯源可視圖中，單擊各個節點，您可以查看該節點的相關信息；單擊AI分析，查看溯源可視圖的詳細說明。

   

   AI告警分析

   云安全中心基于通義基礎大模型，提供AI告警分析功能，支持在線為您分析及解釋安全告警，幫助您更深入地了解資產的業務風險并處理風險。

   說明

   • 僅支持云安全中心防病毒版、高級版、企業版和旗艦版用戶使用該功能。

   • 容器安全告警、異常登錄和云產品威脅檢測類告警不支持大模型分析功能。

   單擊告警名稱或者在告警的操作列單擊詳情，在告警詳情頁面的AI告警分析區域，查看告警解釋、告警溯源報告等告警的詳細信息。

   您可以在AI告警分析區域單擊猜您想了解處的問題，了解更多該告警的詳細信息。

   

   查看沙箱檢測

   云安全中心提供了沙箱檢測能力，通過在一個安全隔離的環境運行文件，分析靜態和動態的文件行為數據，幫助您安全地運行可疑的應用程序，檢測文件的可疑行為。當產生告警時，您可以通過沙箱檢測結果輔助處置惡意程序。

   說明

   僅部分惡意軟件告警支持沙箱檢測功能，請以實際頁面顯示為準。

   1. 在安全告警列表，找到目標安全告警，在操作列單擊詳情。

   2. 在沙箱區域，查看沙箱檢測的結果。

   查看事件調查

   事件調查是入侵調查的工作平臺，通過可視化調查黑客攻擊過程，定位攻擊源IP，分析入侵原因，助力您快速掌握入侵影響面，進行安全加固。

   您可以在告警列表中的告警名稱列，單擊圖標跳轉至事件調查頁面。

   說明

   • 告警名稱列標記已防御，表示病毒文件的惡意進程已被云安全中心實時攔截，當前已無法對您的業務造成危害，建議您盡快隔離相應病毒文件。

   • 告警名稱列標記嚴格模式，表示服務器的告警檢測為嚴格模式。嚴格模式下，云安全中心會檢測出更多的可疑行為告警，但會存在一定的誤報風險。更多信息，請參見主機防護設置。

處理安全告警

1. 登錄云安全中心控制臺。在控制臺左上角，選擇需防護資產所在的區域：中國或全球（不含中國）。

2. 在左側導航欄，選擇檢測響應 > 安全告警處理。

3. 在安全告警處理頁面定位到目標告警，在操作列單擊處理，選擇告警的處理方式，然后單擊立即處理。

   說明

   • 不同類型告警支持的處理方式不同，請以控制臺頁面顯示為準。

   • 您可以根據實際需要填寫備注信息，備注可填寫處置告警的原因和操作人，以方便您管理已處理告警。

   處理方式	說明
   病毒查殺	選擇病毒查殺，您可以選擇關閉該病毒的進程并隔離源文件，病毒樣本被隔離后，將無法對業務產生危害。 如果您確認該告警信息有效，可以手動選擇以下選項進行處理： 結束該進程的運行：直接結束該進程的運行。 結束進程并隔離源文件：將病毒文件加入查看和恢復隔離文件，被隔離的文件將無法對服務器造成安全威脅。 警告 如果業務相關文件被加入了惡意代碼片段，則該文件被隔離可能會影響業務正常運行。建議您在執行隔離操作前，確保被隔離文件對業務的影響是可控的。 被成功隔離的文件在30天內可執行一鍵恢復，恢復的文件將重新回到安全告警列表中，由云安全中心繼續對該文件進行監測。文件隔離30天后云安全中心會自動清除該文件。
   加白名單	如果告警為誤報，您可以將本次告警加入白名單，并設置加入白名單的規則。例如，在處理滲透工具利用行為的告警時，選擇加白名單后，您設置了命令行包含aa的加白規則，則該告警狀態將變為已處理，后續云安全中心不會再對命令行包含aa的滲透工具利用行為進行告警。您可以在已處理告警列表中定位到該事件對其進行取消白名單的操作。 說明 加白名單操作僅對當前告警和您設置的白名單規則進行加白。執行加入白名單操作后，針對您加入白名單的事件和設置的白名單規則，云安全中心都不會再產生對應的安全告警。云安全中心支持加入白名單的對象詳情，請參見安全告警可以將哪些對象加入白名單。 告警誤報是指系統對正常程序進行告警。常見的告警誤報有對外異常TCP發包可疑進程，提示您服務器上有進程在對其他設備發起了疑似掃描行為。
   忽略	選擇忽略，該告警狀態將更新為已忽略，當相同告警再次發生時，云安全中心將再次告警。 說明 如果您已確認一個或多個告警事件需要忽略或為誤報，可在安全告警處理頁面的告警事件列表中，選中一個或多個告警事件，單擊列表下方的忽略本次或加白名單進行處理。
   深度查殺	深度查殺由云安全中心安全專家團隊經過對該持久化、頑固型病毒進行深度分析、測試后，推出的專項查殺能力，該操作可能存在風險，您可以單擊該功能下的查看詳情，查看并確認待清除列表信息。該處理方式還提供創建快照功能，您還可以通過創建快照備份數據，以便深度查殺清除有用數據時，可以通過快照恢復被清除數據。
   隔離	選擇隔離，網站后門文件將被隔離到文件隔離箱，將無法對業務產生危害。 警告 如果業務相關文件被加入了惡意代碼片段，則該文件被隔離可能會影響業務正常運行。建議您在執行隔離操作前，確保被隔離文件對業務的影響是可控的。 被成功隔離的文件在30天內可執行一鍵恢復，恢復的文件將重新回到安全告警列表中，由云安全中心繼續對該文件進行監測。文件隔離30天后云安全中心會自動清除該文件。
   阻斷	選擇阻斷，云安全中心將生成安全組防御規則，您需要配置規則有效期，攔截該惡意IP的訪問。
   結束進程	云安全中心將嘗試結束該進程的運行。
   問題排查	選擇問題排查，云安全中心的客戶端問題診斷程序將在本機采集與客戶端相關的網絡、進程、日志等數據上報云安全中心進行分析，檢查期間會占用一定的CPU和內存。 問題排查支持以下兩種模式： 常規模式 常規模式將收集客戶端相關日志數據上報至云安全中心進行分析。 增強模式 增強模式將采集與客戶端相關的網絡、進程、日志等數據上報云安全中心進行分析。
   我已手工處理	您已處理了導致該告警事件的風險問題。
   同時處理相同告警	對多個告警事件進行批量處理。批量處理告警事件前，請詳細了解告警事件的信息。
   不再攔截此規則	如果您無需攔截來自命中攔截規則的請求URI的請求，可以選擇不再攔截此規則。選擇不再攔截此規則后，系統將不攔截對應URI的請求，不再產生告警。
   僅防御不通知	當再次發生相同告警時，告警事件將自動進入已處理列表中，不再進行告警通知，請謹慎操作。
   關閉觸發告警的防御規則	關閉惡意行為防護后，系統將停止該條自動化防御規則能力，請謹慎操作。

   告警事件處理完成后，告警事件的狀態將從未處理變為已處理。

查看安全告警統計數據

云安全中心對您已開啟的告警防御能力提供總覽數據，幫助您快速了解安全告警概況、已開啟和未開啟的防御項目。您可以查看安全告警和已開啟的防御項目的統計信息。

1. 登錄云安全中心控制臺。在控制臺左上角，選擇需防護資產所在的區域：中國或全球（不含中國）。

2. 在左側導航欄，選擇檢測響應 > 安全告警處理。

3. 在安全告警處理頁面上方，查看告警統計數據。

   統計項	說明	相關操作
   存在告警的服務器	展示資產中存在告警的服務器數量。	單擊相應數值，跳轉到主機資產頁面，查看已檢測出安全告警的服務器的詳細信息。
   急需處理的告警	展示資產中風險等級為緊急的待處理告警事件的數量。	單擊相應數值，自動為您篩選出對應的告警事件，方便您集中查看和處理風險等級為緊急的告警事件信息。 說明 建議您優先處理緊急狀態的告警事件。
   待處理告警總數	展示資產中未處理告警的總數量。	在安全告警處理頁面，您可以查看默認展示的所有待處理告警信息。更多信息，請參見查看和處理安全告警。
   精準防御	展示資產中被惡意主機行為防御功能自動攔截的病毒告警的數量。	單擊相應數值，自動為您篩選出對應的告警事件，方便您集中查看被惡意主機行為防御功能自動攔截的所有病毒告警信息。 說明 病毒被自動攔截表示云安全中心已成功攔截該病毒，無需您手動進行處理。
   生效IP攔截策略/全部策略	生效IP攔截策略：展示啟用防暴力破解規則后攔截的記錄數量。 全部策略：展示云安全中心所有的防暴力破解規則攔截的記錄數量。	單擊相應數值，自動展開IP規則策略庫面板，方便您集中查看已啟用或全部的IP攔截策略。IP攔截策略的更多信息，請參見防暴力破解。
   已隔離文件數	展示您對安全告警事件進行隔離處理后，隔離威脅文件的數量。	單擊相應數值，自動展開文件隔離箱面板，方便您集中查看被隔離的文件信息。病毒樣本文件被隔離后，將無法對業務產生危害。更多信息，請參見查看和恢復隔離文件。

處理挖礦告警視頻演示

以下視頻演示如何處理挖礦告警。

查看已歸檔的告警數據

在告警數據大于100條時，云安全中心會自動歸檔30天前已處理的告警數據，不會歸檔未處理的告警數據。已歸檔的數據將無法在云安全中心控制臺查看。如需查看已歸檔的告警數據，您可以將歸檔數據下載到本地。

1. 登錄云安全中心控制臺。在控制臺左上角，選擇需防護資產所在的區域：中國或全球（不含中國）。

2. 在左側導航欄，選擇檢測響應 > 安全告警處理。

3. 在安全告警處理頁面右上角，單擊歸檔數據。

4. 在歸檔數據對話框，查看已歸檔的數據。

5. 在已歸檔數據的下載鏈接列單擊下載，將歸檔數據下載到本地。

   歸檔數據的文件格式為XLSX。歸檔數據下載時間依賴于網絡帶寬和文件大小，一般需要2~5分鐘。

   下載完成后，您可以在歸檔數據文件中，查看歷史告警的告警ID、告警名稱、告警詳情、告警等級、狀態、影響資產、影響資產備注名稱、影響概況和告警發生時間。

   說明

   告警狀態為已經過期，說明在發生告警后的30天內，您未對該告警做任何處理。建議您及時對云安全中心檢測到的安全告警事件進行處理。

查看和恢復隔離文件

云安全中心可對檢測到的威脅文件進行隔離處理，被成功隔離的文件會添加到文件隔離箱中，云安全中心將在隔離30天后自動清除被隔離文件。如果您確定被隔離的文件無安全風險，您可以在文件被隔離后30天內，一鍵恢復被隔離的文件。

1. 登錄云安全中心控制臺。在控制臺左上角，選擇需防護資產所在的區域：中國或全球（不含中國）。

2. 在左側導航欄，選擇檢測響應 > 安全告警處理。

3. 在安全告警處理頁面右上角，單擊文件隔離箱。

4. 在文件隔離箱面板，查看被隔離的文件或恢復被隔離的文件。

   • 在文件隔離箱列表中可以查看被隔離文件所屬的主機、路徑、狀態和修改時間信息。

   • 在待恢復文件的操作列單擊恢復，可以將指定的被隔離文件從文件隔離箱中移除?；謴偷奈募⒅匦嘛@示在安全告警列表。