云安全中心
云安全中心
- 文档首页
云安全中心用户指南入侵防御安全告警K8s 告警(邀测)分析处理安全告警
文档反馈
问问助手为了您的集群资产安全,建议您及时查看和处理云安全中心检测出的 K8s 安全告警。本文介绍如何分析处理安全告警。
分析安全告警
处理安全事件前,需对告警进行影响面评估、攻击行为分析及误报识别,避免影响系统正常运行。可通过安全告警详情页获取相关信息,辅助决策判断。
- 登录云安全中心控制台。
- 在左侧导航选择入侵防御 > 安全告警,然后单击 K8s 页签。
- 在 K8s 页面,单击目标安全告警的名称,查看告警详情。
安全告警处理方式
- 登录云安全中心控制台。
- 在左侧导航选择入侵防御 > 安全告警,然后单击 K8s 页签。
- 在 K8s 页面,单击目标安全告警的操作列处理。
- 在处理面板中,选择处理方式,然后单击处理。
处理方式说明如下:
一、常见适用场景
当前告警为误报,要添加一条永久性例外规则。
二、处理结果说明
- 对当前告警:状态更新为 “已处理”,处理方式标记为 “已加白”。
- 对后续告警:当相同告警再次发生,不会再生成告警数据。
三、设置加白规则
在处理告警弹窗,单击加入白名单页签。单击**+添加规则新增一条规则。单击删除图标**可删除一条规则。
说明
设置多条加白规则时,规则间为 “AND” 逻辑关系:需满足所有规则条件,告警才会被加白。
每条规则从左到右一共 3 个配置框,说明如下:
1. 匹配字段:规则匹配的告警信息字段。
2. 匹配方式:支持等于、属于、包含、存在值属于、在IP段内。部分匹配方式说明如下:
* 属于:
* 示例1:值“A”属于“A、B、C”
* 示例2:数组“A、B”属于“A、B、C”
* 示例3:数组“A、B、C”属于“A、B、C”
* 示例4:数组“A、D”不属于“A、B、C”
* 包含:
* 示例1:值“A”是“user-admin”
* 示例2:值“A”中包含“user”、“user-”、“admin”
* 存在值属于:
* 示例1:“A” 中存在值 A,且 A 属于 A、B、C,所以“A”存在值属于“A、B、C”
* 示例2:数组“A、D”中存在值 A,且 A 属于 A、B、C,所以“A、D”存在值属于“A、B、C”
* 在IP段内:
* 示例1:192.168.1.2 在IP段 192.168.1.1,192.168.1.2 内
* 示例2:192.168.1.2 在IP段 192.168.1.1-192.168.1.3 内
* 示例3:192.168.1.2 在IP段 192.168.1.0/24 内
3. 值:规则匹配的告警信息字段值。
设置白名单规则生效的集群:
* 全部集群:对新增集群及已经接入的所有集群生效。
* 当前集群:仅对当前告警涉及的集群生效。
保存白名单规则前,建议单击测试触发规则校验,系统将自动检测该规则对当前告警的匹配生效情况,帮助您验证规则配置是否符合预期,避免因规则设置不当导致漏加白或误加白。
一、常见适用场景
- 告警确认为误报,或安全优先级较低。
- 临时性 / 已知风险:告警对应的问题真实存在,但属于已接受的已知风险,或为非恶意的临时性状态,且暂不计划 / 无法立即修复根本原因。
- 非生产环境:开发、测试等非生产环境中,频繁出现预期内且不影响安全的告警,为避免干扰正常监控,需暂时屏蔽。
二、处理结果说明
- 对当前告警:状态更新为“已处理”,处理方式标记为“已忽略”。
- 对后续告警:同类型告警触发时,云安全中心将正常推送新告警,不会自动屏蔽。
若您已手动处置告警,选择 “人工处理” 后,当前告警状态将更新为 “已处理”。