当服务器被检出存在恶意文件且未命中文件白名单时,会触发主机安全告警。本文介绍恶意文件告警的处理步骤及相关常见问题。
处理步骤
在收到恶意文件告警后,建议按照以下步骤进行处置:
1. 在主机安全控制台中定位恶意文件告警。
通过告警 ID 精确定位:使用 PC 端打开邮件或腾讯云站内信消息,单击前往主机安全控制台,登录后系统将自动跳转至文件查杀下的恶意文件页签,并自动在搜索框中带入告警 ID 定位具体告警。
通过其他项筛选定位:登录主机安全控制台,在左侧导航栏中,选择入侵检测>文件查杀,单击恶意文件页签,然后在搜索框中输入告警资产的主机名称、实例 ID、IP 地址等筛选项进行搜索定位。
2. 单击详情,查看告警详情并判断恶意文件是否为误报,若是误报,请执行步骤3,若不是误报,请执行步骤4。
说明:
该恶意文件是否误报,可结合以下几种方式判定:
联系业务团队判断该文件是否是业务正常运行所需文件。
查询安全威胁情报平台,判断该文件是否被外网标记为恶意样本。
该文件行为是否导致进一步触发更多告警。
3. 明确是误报,单击更多,选择加入白名单,将该文件加入白名单,后续再次检出此文件将被忽略,不会产生告警。
说明:
4. 明确不是误报,请参考告警详情中的修复建议进行处理。
可单击隔离,对该文件进行隔离并结束相关进程,该告警处理状态将变为“已隔离”。
可登录该主机,找到对应文件,手动进行删除或隔离并结束相关进程,然后在控制台对该告警标记为已处理,该告警处理状态将变为“已处理”。
5. 在文件查杀页面,单击右上角的查杀设置,建议开启自动隔离开关,检出恶意文件则立即自动隔离。
说明:
并非所有检出的恶意文件均能被自动隔离,部分恶意文件仍需用户手动确认隔离,建议检查文件查杀中的告警列表,确保已全部处理。
若出现误隔离,请在已隔离列表中对文件进行恢复。
开启或关闭自动隔离,均需要进行配置,实际生效存在几分钟延迟。
热点问题
恶意文件在哪里配置告警?
恶意文件如何设置定期检测?
若文件已被删除,再次对该主机进行恶意文件扫描,原告警处理状态会变成什么?
原告警处理状态将变为“已清理”。
