● 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者网站后门,您 可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后,HSS不对策 略组关联的服务器进行检测,详细信息请参见查看和创建策略组。
图7-2 事件管理
已拦截IP 展示已拦截的IP。单击“已拦截IP”,可查看已拦截的IP地址列表。
已拦截IP列表展示“服务器名称”、“攻击源IP”、“攻击类 型”、“拦截次数”、“开始拦截时间”、“最近拦截时间”、
步骤4 单击告警事件列表中的告警事件,可查看告警事件对应的受影响的服务器、发生时间 等信息,如图7-3所示。
● 全部:展示发生的总的告警数。
● 告警事件:展示各告警事件发生的告警数。
图7-3 告警事件统计数量
步骤5 单击告警列表中的告警名称,可查看告警的详细信息,如图7-4所示。
图7-4 告警详细信息
----结束
处理告警事件
当发生安全告警事件后,为了保障您的云服务器安全,可以根据以下方式处理安全告 警事件。
说明
由于网络攻击手段、病毒样本在不断演变,实际的业务环境也有不同差异,因此,无法保证能实 时检测防御所有的未知威胁,建议您基于安全告警处理、漏洞、基线检查等安全能力,提升整体 安全防线,预防黑客入侵、盗取或破坏业务数据。
步骤1 登录管理控制台。
步骤2 在页面左上角选择“区域”,单击 ,选择“安全与合规 > 企业主机安全”,进入 企业主机安全页面。
图7-5 企业主机安全
步骤3 在左侧导航栏,单击“入侵检测 > 事件管理”,进入事件管理页面。
图7-6 事件管理
步骤4 单击告警列表中的告警事件,勾选待处理的告警事件,单击“批量处理”,处理告警 事件,如图7-7所示,处理方式如表7-2所示。
用户指南 7 入侵检测
说明
您也可以单击告警名称所在行的“处理”,处理告警。
图7-7 处理告警事件
告警事件展示在“事件管理”页面中,事件管理列表仅展示最近30天的告警事件。
您需要根据自己的业务需求,自行判断并处理告警。告警事件处理完成后,告警事件 将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计,并且 不在“总览”页展示。
表7-2 处理告警事件 处理方式 处理方式说明
忽略 仅忽略本次告警。若再次出现相同的告警信息,HSS会再次告警。
隔离查杀 选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程 将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离 的文件不会对主机造成威胁。
您可以单击“文件隔离箱”,查看已隔离的文件,详细信息请参见管理 文件隔离箱。
有以下两类告警事件支持线上隔离查杀。
● 恶意程序(云查杀)
● 进程异常行为 说明
程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认 检测结果,若隔离查杀有误报,您可以执行取消隔离/忽略操作。
处理方式 处理方式说明
手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息,方 便您记录手动处理该告警事件的详细信息。
加入登录 白名单
如果确认“账号暴力破解”和“账户异常登录”类型的告警事件是误 报,且不希望HSS再上报该告警,您可以将本次登录告警事件加入登录 白名单。
HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后,若 再次出现该登录事件,则HSS不会告警。
加入告警
白名单 如果确认以下类型的告警事件是误报,且不希望HSS再上报该告警,您 可以将本次告警事件加入告警白名单。
HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后,若 再次出现该告警事件,则HSS不会告警。
● 反弹Shell
● Webshell检测
● 进程异常行为检测
● 进程提权
● 文件提权
● 高危命令
● 恶意程序
----结束
用户指南 7 入侵检测
告警处理建议
mysql、mssql、vsftp、filezilla、
serv-u、ssh、
rdp。
● 尝试破解次数:被
建议您立即确认源IP是否是已知的合法IP。
● 若源IP合法。
告警名 mysql、mssql、
vsftp、filezilla、
serv-u、ssh、
rdp。
● 端口:被攻击的端 对目前部分主流勒索病毒、DDOS木马等 进行主动防护和主动隔离。
告警名 CPU。
● 连接数:
● CPU使用频率:
CPU的使用频率。
● 状态:处理告警事 对目前部分主流勒索病毒、DDOS木马等 进行主动防护和主动隔离。
告警名
“true”或者
“false”。
● 状态:处理告警事
若检测出反弹/异常Shell,建议您立即确认该反 弹/异常Shell是否合法。
● 若合法,您可以“忽略”该事件。
告警名
告警名 的HASH。
● 状态:处理告警事
● UID/SID:UID/
SID。
● 用户目录:用户的 目录。
● 用户启动Shell:用 户启动的Shell。
● 状态:处理告警事
删除主机中无用的系统登录账号,如SSH 账号。
删除主机中MySQL、FTP使用的无用的账 号。
告警名
Rootkit
程序 ● 服务器名称:云服 务器的名称。
● IP地址:受影响服 务器的IP地址。
● Rootkit名称:
Rootkit的名称。
● 子模块名称:子模 块的名称。
● 特征:Rootkit程序 特征。
● 状态:处理告警事 件的状态,“已处 理”或者“未处 理”。
若检测出Rootkit程序安装,建议您立即确认该 Rootkit安装是否合法。
● 若合法,您可以“忽略”该事件。
● 若不合法,请将该事件标记为“手动处理”,
建议您立即登录系统终止该Rootkit安装行 为,并全面排查系统风险,避免系统遭受进一