查看和处理告警

为了提升资产安全性，建议您及时查看并处理告警事件。云安全中心为您提供告警事件类型、受影响的资产、风险级别以及修复建议等信息，您也可以根据需要执行溯源、分享等操作，帮助您深入了解主机风险详情，提升告警处理效率。

前提条件

您的主机资产已完成入侵告警检测。

查看告警信息

1. 登录云安全中心控制台。

2. 在页面左侧，选择威胁检测＞入侵告警。

3. 查看告警相关信息。

   • 告警结果总览：查看最新告警数据统计信息和告警配置策略信息。

     

     参数	说明
     急需处理告警	级别为严重和高危的告警事件数量。
     存在告警的主机	存在告警事件的主机数量。
     7日累计处理告警	7天内已经处理过的告警事件数量。
     IP拦截策略	单击可查看IP拦截记录和相关信息，您也可以对拦截策略进行修改，详情请参见设置安全告警策略。

   • 告警列表：默认显示未处理的告警事件信息，包括告警名称、影响资产、告警类型、风险级别、处理状态和最新发生事件。支持按告警类型、风险级别和处理状态筛选。

     

   • 告警详情：单击告警名称或对应详情可查看告警具体信息，包括受影响主机的基础信息、风险详情。您也可以根据解决建议处理告警。
     
     

处理告警事件

云安全中心针对不同类型的告警事件提供解决建议，您可以参考建议处理告警，将事件标记为已处理或忽略。异常登录类型的告警事件，还支持设置阻断访问或者添加白名单操作。以下以 ECS 非常用时间登录告警事件为例，介绍如何处理告警事件。

1. 登录云安全中心控制台。
2. 在页面左侧，选择威胁检测＞入侵告警。
3. 单击目标告警事件对应的处理。
   
4. 根据需要执行相关操作，以下以处理 ECS 非常用时间登录告警事件为例。
   • 阻断访问：告警状态将更新为已处理，云安全中心自动生成安全组防御规则，拦截对应 IP 的访问，可以配置规则有效期，默认为 6 小时。

     说明

     阻断时生成的防御规则，可以前往云服务器控制台>网络与安全>安全组查看，注意选择与防护主机同一地域的云服务器实例。

   • 标记为已处理：告警状态将更新为已处理，请确认排查后谨慎选择。
   • 忽略本次告警：告警状态将更新为已忽略，当告警再次发生时会有新告警。
   • 加白名单：告警状态将更新为已处理，且该时间段再次发生相同告警时将不再进行告警通知，请谨慎操作。
     • 默认将登录时间为该告警事件发生时间所在的一个小时内设置为白名单登录时间。例如，异常登录告警事件发生在 14:00-15:00 之间，则选择加白时会默认生成一个登录时间等于 14:00-15:00 的白名单规则。
     • 您也可以单击添加设置其他常用登录策略。

     说明

     添加白名单时生成的规则，可以前往入侵告警>安全告警设置>异常登录设置中进行编辑或删除。

   
   

可选操作

• 筛选告警信息：支持按不同处理状态、告警发生时段、告警类型和级别筛选告警列表信息，默认显示所有时段的未处理告警。
• 搜索告警信息：在告警列表上方搜索框内选择筛选条件并输入信息，可实现精准搜索。支持按告警名称、主机名称、公网IP、私网IP、归属集群（ID）和是否位于容器搜索。可同时进行多个条件筛选。
• 分享告警事件：在告警详情页面，单击分享，可复制当前告警链接并分享给其他运维人员。
• 告警事件溯源与导出：在告警详情页面，单击溯源，可查看当前告警数据来源涉及的进程图谱及详情。您也可以导出溯源数据至本地查阅。