You need to enable JavaScript to run this app.
导航
常见问题
最近更新时间:2023.10.27 17:19:41首次发布时间:2022.03.21 20:06:16

常见告警处理方法有哪些?

处理云安全中心检测出的告警可以降低资产的安全风险,提高安全评分。常见告警的处理方法主要有:

  • 标记为已处理
  • 忽略本次告警

更多信息,请参考查看和处理告警

如何获取当前软件版本及漏洞信息?

云安全中心通过匹配您服务器上的系统软件版本和存在漏洞(CVE 漏洞)的软件版本,判断您的服务器是否存在软件漏洞。因此,您可以通过以下方式查看当前软件版本的漏洞信息:

方法一:在云安全中心中查看当前软件版本及漏洞信息。

  1. 登录云安全中心控制台
  2. 选择安全预防 > 漏洞巡检。
  3. 在漏洞列表查看云安全中心在您的服务器上检测到的系统软件版本及漏洞信息。

方法二:在您的服务器上查看当前软件版本信息。

  • CentOS系统:执行rpm -qa | grep xxx命令查看软件版本信息。其中,xxx为软件包名。例如,执行rpm -qa | grep bind-libs命令查看服务器上的bind-libs软件版本信息。
  • Ubuntu或Debian系统:执行dpkg-query -W -f '${Package} -- ${Source}\n' | grep xxx命令查看软件版本信息。其中,xxx为软件包名。例如,执行dpkg-query -W | grep bind-libs命令查看服务器上的bind-libs软件版本信息。

    说明

    如果显示无法找到该软件包,您可以执行dpkg-query -W命令查看服务器上安装的所有软件列表。

通过以上命令获取您服务器上的软件版本信息后,您可以将得到的软件版本信息与云安全中心系统软件漏洞中检测到的相关漏洞的说明信息进行对比。

说明

如果升级后旧版本软件包还有残留信息,这些旧版本信息可能仍会被云安全中心检测收集,并作为漏洞上报。如果确认是由于这种情况触发的漏洞告警,建议您选择忽略该漏洞。您也可以执行yum remove或者apt-get remove命令删除旧版本的软件包。删除前,请务必确认所有业务和应用都不再使用该旧版本软件。

漏洞已经修复了,但云安全中心仍提示存在漏洞怎么办?

出现该情况是因为部分漏洞(即Linux内核漏洞)修复后需要重启服务器。重启后,请按以下步骤验证漏洞状态。

  1. 登录云安全中心控制台
  2. 选择安全预防 > 漏洞巡检。
  3. 选择对应漏洞并进入漏洞详情页面。
  4. 影响资产页面单击目标资产对应的验证
    验证完成后,如漏洞变为已处理状态则表示漏洞已经修复。

基线检查验证失败如何处理?

云安全中心基线检查验证已修复风险项失败可能由以下原因导致:

  • Agent版本过低:如果您服务器上的云安全中心Agent版本过低,可能导致基线检查失败。如果您的云安全中心Agent没有正常自动更新,建议您手动安装最新版Agent。更多信息,请参考安装客户端
  • Agent离线:如果您服务器上的云安全中心Agent显示为离线,云安全中心基线检查将无法执行。建议您对Agent离线进行排查,确保您服务器上的云安全中心Agent在线。更多信息,请参考客户端安装失败排查

基线和漏洞有什么区别?

基线一般指配置和管理系统的详细描述,或者说是最低的安全要求,包括服务和应用程序设置、操作系统组件的配置、权限和权利分配、管理规则等。云安全中心的基线检查功能支持检测操作系统和服务(数据库、服务器软件、容器等)的账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置,并提供检测结果,针对存在的风险配置给出加固建议。
漏洞是指在操作系统实现或安全策略上存在的缺陷,例如操作系统软件或应用软件在逻辑设计上存在的缺陷或在编写时产生的错误。攻击者可以对这类缺陷或错误进行利用,从而能够在未获得授权的情况下访问和窃取您的系统数据或破坏系统。系统漏洞需要系统管理员及时处理并修复,否则将带来严重的安全隐患。

说明

基线检查功能为云安全中心的增值服务,仅高级版以上用户可使用该服务。免费版用户都需先升级到高级版以上才可使用基线检查功能。

为什么配置了告警通知,告警发生时却没有收到邮件或短信提醒?

  • 火山引擎云安全中心为了避免对您造成过度打扰,在告警消息通知上存在压制规则,仅对精准度高的告警事件进行短信/邮件提醒。
  • 您也可以前往云安全中心控制台,选择威胁检测>通知管理,确认您配置的通知类型、时间、等级和通知形式符合预期。

为什么基础版也会收到 Web 应用扫描的请求?

云安全中心高级版会提供应用漏洞扫描服务,您在使用云安全中心基础版时会收到 Web 应用扫描请求,是因为云安全中心需要通过扫描引擎 IP 获取您的资产信息,探测对应的端口信息及服务。
所以您在使用基础版或高级版服务时,均会收到扫描引擎发起的请求,但基础版服务不会对您的资产进行应用漏洞扫描。