告警模块是数据安全态势感知中对象存储异常监测的核心风险处置模块,分为异常访问与恶意文件两大子模块,通过策略配置实现实时风险监控,并以告警形式集中呈现安全事件,支持告警分类、筛选、处置与溯源,是保障对象存储资产安全的核心管控入口。
异常访问告警
1. 登录云安全中心控制台,在左侧导览中,单击数据安全态势管理 > 对象存储异常监测。
2. 在对象存储异常监测页面,单击告警 > 异常访问标签。
3. 在异常访问告警列表中,基于异常访问告警规则视角,查看异常访问告警信息、存储桶信息以及账号信息,并提供权限策略配置建议。
异常访问告警详情查看
1. 在异常访问告警列表中,选择所需异常访问告警,单击详情。
2. 在异常访问告警详情页面, 查看异常访问告警信息与异常调用记录。
查看异常访问告警信息,告警信息包括:告警策略、策略描述、对象存储名称、对象存储备注、标签、地域、账号名称、账号身份、账号 ID/APPID、访问方式。
查看异常访问的异常调用记录,调用记录包括:调用源 IP /地域/备注、IP 类型、调用方式、调用 AK、操作动作、操作状态/次数、首次/最近调用时间。
异常访问告警处置
标记忽略
对误报或无需处理的异常访问告警进行状态标记,排除风险统计干扰。
说明:
告警处理状态标记为已忽略,则该风险将不会纳入风险统计中。
1. 在异常访问告警标签页面,支持单个或者批量处理目标告警:
单个处置:单击目标告警操作列的更多 > 标记忽略。
批量处置:选择多个目标告警,单击更多 > 标记忽略。
2. 在二次确认中,单击确定,即可将告警标记为已忽略。
添加白名单
对于需要长期放行的行为,可以将该异常访问告警所触发的策略添加至规则白名单中。
1. 在异常访问告警标签页面,单击目标告警操作列的更多 > 添加白名单策略。
2. 在添加白名单窗口策略中,查看白名单策略内容,确认无误后单击保存,即可将该告警所触发的策略信息添加至白名单。
说明:
告警白名单策略规则生效后,该行为不再触发告警。
标记已处置
对已完成应急响应的告警进行状态更新,实现处置闭环。
1. 在异常访问告警标签页面,选择单个或多个目标告警,单击标记处置。
2. 在确认窗口中,核查告警信息,确认无误后,单击确定,即可将该告警标记为已处置。
说明:
告警处理状态标记为已处置后,该告警将不会纳入风险统计中。
恶意文件告警
1. 登录云安全中心控制台,在左侧导览中,单击数据安全态势管理 > 对象存储异常监测。
2. 在对象存储异常监测页面,单击告警 > 恶意文件标签。
3. 在恶意文件标签页,将展示已检测到的恶意文件信息。同时也可对恶意文件进行处置溯源与整改操作。
恶意文件告警详情查看
1. 在恶意文件标签页,选择需要查看的恶意文件告警,单击操作列的详情。
2. 在恶意文件告警详情页,将展示检测到的恶意文件详细信息,包括文件路径、文件 MD5、文件大小、描述。以及影响的对象存储资产信息等。
恶意文件告警处置
标记忽略
对误报或无需处理的恶意文件告警进行状态标记,排除风险统计干扰。
说明:
告警处理状态标记为已忽略,则该风险将不会纳入风险统计中。
1. 在告警标签页面,支持单个或者批量处理目标告警:
单个处置:单击目标告警操作列的更多 > 标记忽略。
批量处置:选择多个目标告警,单击更多 > 标记忽略。
2. 在二次确认中,单击确定,即可将告警标记为已忽略。
添加白名单
对于需要长期放行的行为,可以将该告警所触发的策略添加至规则白名单中。
1. 在告警标签页面,单击目标告警操作列的更多 > 添加白名单策略。
2. 在添加白名单窗口策略中,查看白名单策略内容,确认无误后单击保存,即可将该告警所触发的策略信息添加至白名单。
说明:
告警白名单策略规则生效后,该行为不再触发告警。
标记已处置
对已完成应急响应的告警进行状态更新,实现处置闭环。
1. 在告警标签页面,选择单个或多个目标告警,单击标记处置。
2. 在确认窗口中,核查告警信息,确认无误后,单击确定,即可将该告警标记为已处置。
说明:
告警处理状态标记为已处置后,该告警将不会纳入风险统计中。
