8、当收到安全事件提醒时,一般如何去处理安全问题?
问题描述:可以结合你使用过的云安全产品,及处理过程进行回答。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
-
收到安全事件提醒时,应立即登录阿里云账号查看具体的安全告警信息,并根据提示采取相应的防护措施或联系技术支持获取帮助;详细步骤可参考阿里云官方文档中的安全中心操作指南:https://help.aliyun.com/document_detail/69247.html?spm=a2c4g.11186623.6.524.2b4a4c9eWZiJtD。如果对您有帮助的话,可以帮忙采纳一下。谢谢。
2025-02-09 23:49:41赞同 90 展开评论 -
现在云上项目中所有服务器都有专门的EDR产品,并且结合阿里云云安全中心的(基线检查,漏洞扫描)功能进行相关报警设定。
当收到安全事件提醒时,一般会按照以下流程进行处理。
1.收到安全事件提醒
2.事件内容排查,确认影响范围。
3.事件溯源,证据链保存,报告生成
4.事后结合云安全中心建议进行安全设定变更
5.PDCA安全检查2025-01-08 13:25:28赞同 141 展开评论 -
分享一下我碰到过的一个安全事件告警,这是系统被入侵了,植入了木马,这个恶意程序使用我的服务器在进行挖矿啥的,导致我的服务器cpu跑满,阿里云检查到之后直接把我的6379端口给禁用了。
1我是先登录系统,把占用cpu高的进程杀掉;
2检查定时任务中有没有未知的任务,删除crontab中不需要的任务
3检查know_hosts中可疑的秘钥
4检查hosts文件中的ip
5然后根据邮件提示内容中的执行脚本修改系统中的命令,比如恶意脚本很多都会使用curl,wget去下载真实的运行脚本,可以把这个命令改成其他的命令,比如这样mv /usr/bin/curl /usr/bin/curl2 把curl命令改成了curl2了,这样脚本就执行不了
6加强系统登录的控制,在安全组中关闭不需要的端口,对使用的端口进行管控。2025-01-07 14:53:19赞同 175 展开评论
