7.2.1.1 概述

仪表盘页面可查看安全评分、安全产品开启状态及覆盖率、待处理的安全事件（包括告警、漏洞、基线等）和安全事件处置趋势；也支持通过“安全风险处置”快速定位并处理安全防护体系的薄弱环节，提高安全防护能力。

7.2.1.2 查看安全态势

简介

在“仪表盘”页面，您可以查看接入到 CSOC 的资产的安全状态。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“安全可视 > 仪表盘”，进入“仪表盘”页面。

(3)在右上角，选择要统计分析的时间范围。

“仪表盘”页面刷新展示资产的安全风险评分、安全产品开启状态及覆盖率、待处理的安全事件统计、安全事件处置发展趋势。各模块说明见仪表盘界面介绍。

7.2.1.3 仪表盘界面介绍

1.安全评分

系统内置安全评分规则，根据当前状态下安全产品的开启状态、今日待处理的安全事件、待处理漏洞、待处理基线计算安全评分并给出风险等级；您可以根据风险等级和提示信息，单击“立即处置”进入“安全风险处置”页面，处理安全风险项，提升安全防护能力，具体说明和操作参见安全风险处置。

安全评分规则如下表：

2.安全产品开启状态及覆盖率

展示云安全中心、云原生堡垒机、数据安全管理平台、云原生Web应用防火墙 、可信云服务器、云工作负载保护、云原生防火墙等安全产品的开启状态以及覆盖率。

安全产品显示为灰色时，表示未开启；显示为蓝色时，表示已开启。

鼠标悬停在已开启的安全产品上，展示安全产品的覆盖率。

3.安全状态

安全状态-告警事件（待处理）

展示指定时间范围内待处理的安全告警数量、安全事故数量。

单击“安全状态-告警事件”区域左上角的等级设置图标，在弹出的对话框中可对事件等级（严重、可疑、提醒）进行过滤统计展示。

单击数字，跳转至“威胁检测”页面并过滤筛选展示。

如，当前事件等级设置为严重、可疑、提醒，单击“安全告警”数据，跳转至“威胁检测”页面后，只展示告警等级为严重 / 可疑 / 提醒的待处理的告警。

安全状态-漏洞（待处理）

展示指定时间范围内待处理的集群漏洞、服务器漏洞、容器漏洞数量。

单击“安全状态-漏洞”区域左上角的等级设置图标，在弹出的对话框中可对漏洞等级（紧急、高危、中危）进行过滤统计展示。

单击数字，跳转至相应页面并过滤筛选展示。

安全状态-基线（待处理）

展示指定时间范围内待处理的基线（容器基线、服务器基线、集群基线、云产品基线）。

单击数字，跳转至相应页面并过滤筛选展示。

4.处置发展趋势

展示指定时间范围内的告警事件、漏洞和基线总量以及已处理数量。

单击右上角的选择框，在下拉选项中选择要展示的告警事件 / 漏洞 / 基线，再单击图例选择“总量”、“已处理”；页面根据设定结果刷新展示。

7.2.1.4 安全风险处置

简介

“安全风险处置”页面展示了资产的当前安全风险状态和统计结果，您可以在此页面对存在风险的安全事项进行检查，加固系统安全防护体系。

限制与指导

仪表盘页面的数据根据处置结果刷新展示。例如，您若在“纵深防护体系”中开启了某个服务，在仪表盘的“安全产品开启状态及覆盖率”该服务状态也发生改变。

操作步骤

(1)登录CSOC控制台。

(2)进入“安全风险处置”页面。

在“仪表盘”的“安全评分”区域，单击“立即处理”，进入“安全风险处置”页面。

(3)查看安全得分/扣分。

在“安全风险处置”页面，您可以查看安全评分总分和各风险项得分、扣分。

(4)执行安全风险处置后，您可以单击“立即检查”刷新得分。

纵深防护体系说明

“纵深防护体系”展示了已接入的安全服务的开启状态和覆盖率。

如果未开通相应的实力或未购买扩展服务等，状态显示为“未开启”。您可以进入到相应服务开通页面，开启服务、提升覆盖率。

鼠标悬停在“覆盖率”数据上，可查看该产品的覆盖率计算说明。

待处理安全事件说明。

“待处理安全事件”统计指定时间范围内待处理的安全事件信息。

您可以在“威胁检测”页面的“告警详情”区域，单击“告警处理”对告警执行相应操作（具体可参见处理告警）；告警处理完成后，系统将重新计算安全得分，您可以单击“立即检查”刷新。

待处理漏洞说明

“待处理漏洞”统计指定时间范围内待处理的系统漏洞、应用漏洞信息。

此处对接的是云工作负载保护 CWP的漏洞检测结果数据，您可在云工作负载保护 CWP的“安全防范 > 漏洞检测”中执行相应的操作，具体可参见《云工作负载保护 CWP 用户指南》。

待处理基线说明

“待处理基线”统计指定时间范围内待处理的云服务器基线和云产品基线。

7.2.2.1 概述

云安全中心安全大屏通过安全指标统计、3D可视化技术、安全事件发展趋势、攻击、实时入侵监测、网络流量监控功能展示全网安全态势，为用户在日常安全运营、重大活动保障期间提供统一可视化监控平台。

7.2.2.2 查看安全态势总览大屏

简介

“安全态势总览”大屏通过安全指标统计、3D可视化技术、安全事件发展趋势、攻击、实时入侵监测、网络流量监控功能展示全网安全态势，帮助用户直观了解全局业务系统整体安全态势。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“安全可视 > 安全大屏”，进入“安全大屏”页面。

(3)单击“安全态势总览”大屏，进入安全态势总览大屏页面，查看安全态势总览。

(4)（可选）自定义统计时间。

自定义统计时间为全局参数（网络流量监控除外），选择时间范围后，安全态势总览页面根据设定的时间刷新展示。

单击左上角的时间设定框，在下拉选项中选择此页面的数据统计时间，单击“确定”后，页面自动刷新数据。

安全评分

通过查看安全评分了解全局业务系统整体安全态势。系统根据评分规则，通过安全产品开通率、安全状态等数据综合评估当前资产安全状态。

攻击态势分析（Top 5被攻击资产、Top 5攻击类型、Top 5攻击区域）

通过攻击双方详细的统计数据，进一步了解攻击双方态势，包括被攻击资产、攻击类型、攻击区域。

安全事件发展态势

提供安全事件发展趋势图，帮助用户了解告警事件、漏洞、合规基线等的发展态势，进而优化防御策略；通过单击“告警”选择要展示的安全事件趋势；鼠标悬停在趋势图上，可查看具体时间内的安全事件统计信息。

实时入侵监控&安全态势总览攻击地域炮图

为了更形象的表达实时发生的攻击状态，安全大屏通过3D攻击炮图方式呈现攻击态势和攻击地域，并支持实时监控新增的安全告警。

网络流量监控

网络流量监控最多展示近一天内的数据，包括网络出方向和入方向流量；您可在此处查看自指定的结束时间起往前24小时内的网络流量趋势；通过单击“上行流量”、“下行流量”选择要展示的流量变化趋势；鼠标悬停在流量曲线上，可查看具体时间内的流量大小。

7.2.2.3 查看安全运营大屏

简介

“安全运营大屏”通过3D可视化技术实施监控攻击状态，并直观展示风险处置信息、告警处置响应时间、安全事件统计分析、攻击源统计分析/处置监控、工单处理状态等信息，帮助用户直观了解安全运营维护的整体情况。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“安全可视 > 安全大屏”，进入“安全大屏”页面。

(3)单击“安全运营大屏”大屏，进入安全运营大屏页面，查看安全运营总览信息。

(4)（可选）自定义统计时间。（自定义统计时间为全局参数，选择时间范围后，安全运营大屏页面根据设定的时间刷新展示）

单击左上角的时间设定框，在下拉选项中选择此页面的数据统计时间，单击“确定”后，页面自动刷新数据。

实时攻击监控大图

为了更形象的表达实时发生的攻击状态，安全大屏通过3D攻击示意图方式呈现。

确认风险处置率

确认风险处置率=告警状态为已处理的告警数÷告警总数

平均发现时间

指定时间内，所有告警落库时间与告警真实时间的差值的平均值。

平均响应时间

指定时间内，告警状态为已处理的告警的最终处置时间减去告警最新发现时间的平均值。

平均止血时间

统计的是状态为已处理（已防御）的告警被处置的时间减去告警最新发现的时间的平均值。

自动化处置率

统计的是告警从发生到系统自动处置的时间的平均值。

风险处置率部门

展示风险处置率为前5的资产组。

新增攻击源统计

统计指定时间范围内的攻击IP数量和已封禁IP数量。

攻击源处置监控

统计指定时间范围内，CSOC对攻击源的处理信息。

安全事件

统计指定时间范围内的Top 5安全事件，发生的安全事件信息，包括类型和数量。

工单状态统计

统计自定义时间范围内的工单处理信息。

7.2.2.4 查看内网威胁态势大屏

简介

“内网威胁态势大屏”展示内网中攻击事件的整体态势。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“安全可视 > 安全大屏”，进入“安全大屏”页面。

(3)单击“内网威胁态势大屏”大屏，进入内网威胁态势大屏页面，查看内网攻击态势。

(4)（可选）单击右上角的账号选项框，切换账号。

(5)（可选）自定义统计时间。

单击左上角的时间设定框，在下拉选项中选择此页面的数据统计时间，单击“确定”。

自定义统计时间为全局参数，选择时间范围后，内网威胁态势大屏页面根据设定的时间自动刷新数据。

(6)（可选）配置关注的内网网段。

单击右上角“网段管理”，弹出“网段管理”对话框，可新增、编辑、删除需要关注的内网网段。

系统支持智能识别，在“网段管理”对话框右下角单击“智能识别”可识别出内网攻击的网段。

注意：已存在的网段不允许重复新增。

页面模块说明

实时攻击大图

以图形化的方式实时展示关注网段的攻击行为、告警信息；当有攻击告警产生时，弹窗展示最新的攻击信息，包括攻击IP、攻击网段、受害IP、告警类型等，您也可以在下方的“实时攻击数据”查看所有攻击信息。

实时攻击数据

展示最近产生的5条内网攻击告警信息。

攻击发展趋势

展示内网攻击不同时间的攻击数量。

安全评分

通过查看安全评分了解内网整体安全态势，并可根据提示加固安全防护体系。

攻击数量展示

展示内网攻击的威胁数量、攻击IP数量、受害IP数量。

内网威胁告警类型分布

展示指定时间范围内告警类型的统计。

内网攻击网段

展示内网发起攻击最多的前TOP 5网段信息、发起攻击次数。

内网攻击IP

展示内网发起攻击最多的前TOP 5攻击IP、发起攻击次数。

跨网段攻击IP

展示内网发起跨网段攻击最多的前TOP 5攻击IP、发起攻击次数。

7.2.2.5 自定义大屏Logo

简介

系统支持自定义安全大屏展示的Logo。

限制与指导

为了更好地呈现安全大屏，建议您上传透明背景色的图片，并使用浅色版本的logo样式。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“安全可视 > 安全大屏”，进入“安全大屏”页面。

(3)单击右上角的“自定义Logo”，弹出“自定义Logo”对话框。

(4)选择大屏类型；单击“导入Logo”，在弹出的对话框选择Logo，确定后设置成功。

所有大屏：所以大屏都换上新上传的Logo。

安全态势总览：新上传的Logo仅在安全态势总览大屏生效。

安全运营大屏：新上传的Logo仅在安全运营大屏生效。

自定义成功后，您可在“安全大屏”页面，单击大屏进入到详情页面查看自定义后的Logo。

7.2.3.1 概述

CSOC的安全报表功能，可以针对一定时间区间的安全数据进行报表分类统计输出，帮助用户从报表对产品的安全状态进行统计分析，主要功能包括创建报表、报表通知、报表下载。

7.2.3.2 创建安全报表

简介

通过创建安全报表，设置生成安全报表的策略。

限制与指导

最多可创建10个安全报表。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“安全可视 > 安全报表”，进入“安全报表”页面。

(3)单击“新建报表”，弹出“新建报表”对话框。

(4)根据下表中的参数说明配置参数信息后，单击“保存”。

7.2.3.3 下载安全报表

简介

在生成安全报表后，您可以将报表下载到本地并查看报表内容。

前提条件

已创建安全报表。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“安全可视 > 安全报表”，进入“安全报表”页面。

(3)找到目标安全报表，单机面板上的“下载列表”，弹出“报表下载”对话框。

(4)单击“下载”，可将报表下载到本地。

您可以使用合适的工具打开下载后的报表，查看报表中统计的相关数据信息。

资产中心页面从资产的类型、防护状态、风险状态等维度分别展示安全资产的对应信息。其功能包含：

资产同步：可同步云服务器资产、网站&IP资产、容器资产等。云服务器资产包括主机唯一标识、IP地址、操作系统、CSOC服务版本、功能授权状态、安全防护状态、资产风险状态等；网站&IP资产包括网站信息和CWAF产品对网站资产的防护状态。

支持自定义云外资产。

资产查询展示：查询展示云服务器相关资产名称、资产ID、资产状态、IP地址、操作系统、保护状态、风险状态。

资产分组和换组：通过创建分组、更换组别，将接入的资产进行分组管理。

切换服务规格：修改目标资产的基础服务授权规格、日志审计授权规格和漏洞扫描授权规格。

简介

CSOC支持同步服务器资产、容器资产、网站资产以及CWAF产品对网站资产的防护状态。

资产同步功能默认30min自动同步一次，如果您想尽快得到最新结果，可手动单击“同步资产”，手动点击同步后，资产信息将在30s以内同步。

您在进入 CSOC 功能界面后，建议您手动同步下资产，及时获取最新的资产信息。

限制与指导

建议手动同步资产时请间隔5min。

单击一次“同步资产”，系统同时同步服务器、容器、网站资产信息。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的进入“资产中心 > 资产详情”，进入资产详情页面。

(3)进入“服务器”、“容器”或“网站&IP”页面。

(4)单击右上角的“同步资产”。

弹出“同步任务下发成功，请稍后刷新数据查看”提示信息，系统开始同步接入的信息，包括服务器资产信息（资产名称 / ID、IP地址、操作系统、CSOC服务版本、CSOC功能授权状态、防护状态等）、容器资产和网站&IP资产信息（网站信息和CWAF产品对网站资产的防护状态）。

(5)手动刷新“资产详情”页面，或切换到别的功能页面再回到“资产详情”页面，即可查看最新的同步结果。

手动刷新的等待时间与当前同步任务的排队情况、集群资产规模有关，建议您根据实际情况稍等后再刷新。

1.查看服务器资产详情

简介

如果您管理的资产很多，您可以基于分组、资产名称、资产ID、IP地址、资产风险状态、授权状态等进行过滤和查询，快速找到目标资产。

操作步骤

(1)登录CSOC控制台。

(2)进入“资产中心 > 资产详情 > 服务器”页面。

系统默认展示所有资产，包括云服务器资产、存在风险资产等。您可以查看到各资产是否在线、IP地址、操作系统、授权信息、防护状态开启情况、风险状态等。

(3)（可选）选择资产分组，页面只展示该组资产信息。

(4)（可选）在筛选框中选择查询类型，输入相关值，可快速查询目标资产。

2.查看容器资产详情

简介

如果您管理的资产很多，您可以基于集群分组、集群名称、集群ID、资产风险状态、运行状态等进行过滤和查询，快速找到目标资产。

操作步骤

(1)登录CSOC控制台。

(2)进入“资产中心 > 资产详情 > 容器”页面。

(3)（可选）选择集群，页面只展示该集群资产信息。

(4)（可选）在筛选框中选择查询类型，输入相关值，可快速查询目标资产。

3.查看网站&IP资产详情

简介

如果您管理的资产很多，您可以基于域名和IP地址进行过滤和查询，快速找到目标资产。

操作步骤

(1)登录CSOC控制台。

(2)进入“资产中心 > 资产详情 > 网站&IP”页面。

系统默认展示所有网站&IP资产。您可以查看到各资产的防护状态开启情况、风险状态等。

(3)（可选）在筛选框中选择查询类型，输入相关值，可快速查询目标资产。

简介

当资产产生了CWP的告警事件，该资产在“资产详情”页面将显示存在风险，您需要对风险资产进行处理。

前提条件

资产产生了告警。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的进入“资产中心 > 资产详情”，进入资产详情页面。

(3)进入“服务器”或“网站”页面。

(4)找到风险资产，单击“存在风险”，系统跳转至“威胁检测”页面，自动筛选出该资产待处理的告警信息。

(5)在“威胁检测”页面，参照查看告警详情、原始告警日志、处理建议、处理告警操作。

7.3.5.1 创建分组

简介

您可以通过创建分组，将接入的资产进行分组管理；并通过“换组”，为自定义分组添加资产。

约束与限制

系统内置的分组不允许创建子分组。

仅服务器资产支持分组管理。

操作步骤

(1)登录CSOC控制台。

(2)进入“资产中心 > 资产详情 > 服务器”页面。

(3)在“资产分组”面板，单击，弹出“新建分组”对话框。

(4)设置分组名称、描述等信息后，单击“确定”，创建成功。

创建成功的分组显示在“资产分组”列表中。

(5)（可选）创建子分组。

选择自定义的分组，鼠标悬停在上，在下拉选项中选择“添加子分组”，弹出“新建分组”对话框，设置组名称、描述等信息后，单击“确定”，创建成功。

创建成功的分组显示在“资产分组”列表中。

(6)为自定义分组添加资产。

选择目标资产，单击操作列的“换组”，在弹出的“换组”对话框中，选择已有的自定义分组，即可将该资产添加到分组中。

7.3.5.2 删除 / 编辑资产分组

简介

您可以删除或编辑自定义的资产分组。

限制与指导

出厂默认的资产分组不允许删除和编辑。

仅服务器资产支持分组管理。

当分组下有子分组或资产时，不允许删除分组；移除组内的资产或删除子分组后方可删除该分组。

操作步骤

(1)登录CSOC控制台。

(2)进入“资产中心 > 资产详情 > 服务器”页面。

(3)选择目标分组，鼠标悬停在上，在下拉选项中选择“删除分组”或“编辑分组”，在弹出的对话框中确认即可。

简介

“切换规格”指修改目标资产的基础服务授权规格、日志审计授权规格和漏洞扫描授权规格，在对应的威胁检测界面、日志审计界面只展示/不展示该资产信息。

限制与指导

如果开通的 CSOC 实例里，没有购买日志审计授权、漏洞扫描授权增值服务，则无法切换授权规格。

开通 CSOC 实例时购买的增值服务授权在被用完后，无法再对资产授权。即：如果购买10个漏洞扫描授权，并通过“换规格”对10个资产完成了漏洞扫描授权，在对第11个资产进行授权时，“漏洞扫描授权”只能选择“未授权”。

操作步骤

(1)登录CSOC控制台。

(2)进入“资产中心 > 资产详情 > 服务器”页面。

(3)单击目标资产操作列的“换规格”，弹出“切换规格”对话框。

(4)修改资产的基础服务授权规格、日志审计授权规格或漏洞扫描授权规格后，保存即可。

参数说明

(1)登录CSOC控制台。

(2)进入“资产中心 > 资产详情 > 网站&IP”页面。

(3)单击“添加资产”，弹出“添加资产”对话框。

(4)基于要添加的资产类型配置参数。

“资产类型”选择“域名”

“资产类型”选择“IP”

配置“IP地址”。

(5)单击“确定”，资产添加成功。您可在“网站&IP”页面查看到资产信息。

1.概述

云安全中心CSOC支持收集云工作负载保护CWP上报的服务器漏洞信息，并将其与资产数据交叉关联，在“漏洞管理”页面展示各个资产的漏洞分布情况，如漏洞的风险、特征、严重等级及修复建议等信息。

关于漏洞检测、识别、修复等操作和说明可参见《云工作负载保护 CWP 运维操作指南》，本文不做介绍。

2.限制与指导

您必须在CWP的“安全防范 > 漏洞检测 > 服务器漏洞 > Linux系统漏洞”中执行了一次“立刻扫描”。

3.漏洞管理统计分析

(1)登录CSOC控制台。

(2)进入“安全防范 > 漏洞管理”页面。

(3)查看统计分析结果、漏洞检测结果列表。

在页面上方，您可以查看漏洞影响资产TOP5、漏洞特征TOP5分布、漏洞级别分布情况。

在页面下方的漏洞列表，从资产维度展示各个资产的漏洞风险分布情况。

4.以资产维度，查看该资产的漏洞公告及详情

(1)登录CSOC控制台。

(2)进入“安全防范 > 漏洞管理”页面。

(3)在“漏洞列表”区域，单击“影响资产”列的资产ID，进入详情页面。

您可以查看该资产所有漏洞公告信息、漏洞等级、漏洞特征等。

(4)单击漏洞公告名称，进入“漏洞公告详情”页面。

您可以查看针对该漏洞的描述、漏洞详情、修复建议等信息。

5.导出漏洞列表

(1)登录CSOC控制台。

(2)进入“安全防范 > 漏洞管理”页面。

(3)在“漏洞列表”区域，单击右侧的，可将当前页面的信息导出到本地。

简介

CSOC支持将云工作负载保护CWP基线扫描完成后的合规情况与资产数据交叉关联，展示各个资产的基线扫描情况，包括检查结果、检查项列表、检查项详情等。

关于合规基线的扫描、修复等操作和说明可参见《云工作负载保护 CWP 用户指南》，本文不做介绍。

限制与指导

请确保已在CWP服务的“安全策略 > 检测规则 ”的“合规基线 > 基线扫描”中创建了基线扫描策略。

您必须至少完成一次基线扫描。

暂支持5种基线类型：国际标准-kubernetes、CECloud Linux操作系统最佳实践、Linux操作系统等保三级、Linux操作系统等保二级、弱口令。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“安全防范 > 合规基线”，进入“合规基线”页面。

(3)查看统计分析结果、合规基线检查结果列表、基线检查详情。

查看统计分析结果：在页面上方，可以查看受影响资产TOP5、检查项分类TOP5和基线重要程度分布情况的统计情况。

查看合规基线检查结果列表：在页面下方，展示各资产的资产信息、使用的合格基线模板、检查通过率等信息。

参考基线检查详情：

单击合规基线列表中的基线名称，进入基线检查详情页面，可查看基线具体的检查项及其检查结果。

点击行首的按钮，展开检查项的基线检查项的描述信息、加固建议。

7.4.3.1 概述

云产品基线功能支持对云服务器、专有网络、云数据库、对象存储、负载均衡、云工作负载保护、访问控制等的配置进行安全检测，并提供检测结果说明和加固建议。基线检查功能可以帮您进行系统安全加固，降低入侵风险并满足安全合规要求。

7.4.3.2 基线检查项

云安全中心提供默认的基线检查项目。通过对服务器进行基线检测，可以获取服务器在基线配置和应用上存在的风险和缺陷，同时云安全中心还会为您提供风险告警和修复建议。

以下为云安全中心支持的所有基线检查项。

7.4.3.3 检查方式

云安全中心支持两种检查方式：系统自动检查和手动检查。

系统自动检查

系统内置基线检查规则，每天00:10自动对云产品基线的所有项进行检查，检查结果显示在“安全规范 > 云产品基线”页面和“安全可视 > 仪表盘”的“安全状态-基线（待处理）”区域。

手动检查

系统支持手动立即检查的方式，您可以对云产品基线的所有项进行检查，也可以对云产品基线里的单个子项进行检查。

7.4.3.4 执行手动检查

简介

云安全中心支持手动检查的方式，您可以对云产品基线的所有项进行检查，也可以对云产品基线里的单个子项进行检查。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“安全规范 > 云产品基线”，进入云产品基线页面。

(3)手动检查云产品基线。

检查所有项：单击“立即检查”，对云产品基线的所有项进行检查。

检查单个子项：展开目标云产品基线，单击检查项右侧的“检查”，对单个子项进行检查。

7.4.3.5 查看检查结果

云安全中心支持系统自动检查和手动检查，在完成基线检查后，检查结果显示在“安全规范 > 云产品基线”页面和“安全可视 > 仪表盘”的“安全状态-基线（待处理）”区域。

“安全可视 > 仪表盘”页面-云产品基线检查结果

如下图所示，在“安全可视 > 仪表盘”的“安全状态-基线（待处理）”区域，“云产品”中的数字即为“云产品基线”中的风险数，单击数字可跳转至“安全规范 > 云产品基线”页面查看详细检查结果。

“安全规范 > 云产品基线”页面-云产品基线检查结果

您可以在“云产品基线”基线页面查看检查结果、处理检查结果，并可根据检查项中的“设置向导”处理风险问题。

(1)登录CSOC控制台。

(2)单击左侧导航栏的“安全规范 > 云产品基线”，进入云产品基线页面。

(3)查看检查结果。

7.4.3.6 处理检查结果

(1)登录CSOC控制台。

(2)单击左侧导航栏的“安全规范 > 云产品基线”，进入云产品基线页面。

(3)处理检查结果。

修复

展开云产品基线，单击具体的检查项，根据设置导向说明进行修复。

不同类型的风险项修复方式不同，根据实际场景中的设置向导说明操作即可。

验证修复

修复完成后，您可以在“云产品基线”页面执行“检查”或“立即检查”操作，查看是否仍存在风险项；也可以进入到对应的检查项说明中，单击“验证”，根据检查结果（是否依旧存在风险项）查看是否修复成功。

忽略统计

当您确认某项检查结果不是风险项，可单击右侧的“忽略”，系统便不将此项计入风险项统计结果中，即“云产品基线”左上方的风险项统计数据根据操作刷新显示。

取消忽略统计

“取消忽略”指再次将检查项纳入统计中。单击“取消忽略”后，左上角的风险项数据刷新展示。

7.4.4.1 概述

为了您的资产安全，建议您定期对资产进行漏洞扫描。云安全中心支持通过创建扫描任务对资产执行手动扫描，扫描模块包括：

扫描各类资产暴露的重要端口

扫描Web常规漏洞

扫描各类资产的弱密码漏洞

7.4.4.2 准备工作

在正常使用漏洞扫描功能前，您需确保：

(1)已开通VPC或已存在可用VPC。具体操作参见《专有网络VPC 用户指南》。

(2)已购买ECS。具体操作参见《云服务器ECS 用户指南》。

(3)已开通企业版CSOC实例且实例正常（即实例不存在欠费、到期等状态），开通时需购买漏洞扫描增值服务。

(4)已为要扫描的目标资产授权“漏洞扫描”规格，具体操作可参见切换服务规格。

开通CSOC后，请至“资产中心 > 资产详情”页面，选择需要扫描的资产，单击“换规格”，在弹出的“切换规格”对话框将“漏洞扫描授权”改为“授权”。

7.4.4.3 业务配置流程

漏动扫描策略配置流程如下：

(1)创建探针。

在“安全防范 > 漏洞扫描 > 探针管理”页面创建探针，绑定VPC。

(2)创建扫描任务。

在“安全防范 > 漏洞扫描 > 任务管理”页面配置扫描任务。

(3)下发扫描任务。

在“安全防范 > 漏洞扫描 > 任务管理”页面，启动任务，将任务下发到探针。

(4)查看扫描结果。

任务下发到探针后，探针扫描VPC内的资产，将扫描结果存储在ES或MySQL内，并生成Word版的报告文件，前端可以下载查看。

7.4.4.4 创建探针

简介

您需要通过“创建探针”创建漏洞扫描探针，该探针在与设备绑定后，将用于采集该设备上的日志信息。

前提条件

已创建专属网络VPC或存在可用的VPC。

已开通CSOC实例，实例正常，且购买了漏洞扫描增值服务。

限制与指导

同一VPC只可创建一个漏扫探针。

操作步骤

(1)登录CSOC控制台。

(2)进入“安全防范 > 漏洞扫描 > 探针管理”页面。

(3)单击“创建探针”，弹出“新建探针”对话框。

(4)配置参数后。

(5)单击“确定”，返回“接入探针”页面。

请等待一会（约40s），探针状态从“创建中”变为“可用”时表示探针创建成功。您可以单击刷新图标刷新探针的状态。

7.4.4.5 创建扫描任务

简介

您需要创建漏洞扫描任务，配置扫描的端口信息、扫描计划、被扫描资产等信息，系统才会在下发任务后对资产进行扫描。

前提条件

已为要扫描的目标资产授权“漏洞扫描”，具体操作可参见切换服务规格。

进入“资产中心 > 资产详情”页面，选择需要扫描的资产，单击“换规格”，在弹出的“切换规格”将“漏洞扫描授权”改为“授权”。

已创建探针。

操作步骤

(1)登录CSOC控制台。

(2)进入“安全防范 > 漏洞扫描 > 任务管理”页面。

(3)单击“创建扫描任务”，进入“创建扫描任务”页面。

(4)配置基础参数。

(5)配置扫描参数。

(6)配置扫描资产。

选择要扫描的资产。

(7)（如果）单击“创建并启动”，扫描任务创建成功并下发任务到探针，探针开始扫描VPC内的资产。

（如果）单击“创建”，扫描任务创建成功。您需要到“任务管理”页面，单击“启动”下发任务，参见下发扫描任务。

注意：周期扫描任务仅支持“创建”。

7.4.4.6 下发扫描任务

简介

对于“立刻扫描”的任务，您可以在创建任务时，单击“创建并启动”，将创建的任务下发到探针；也可以在“任务管理”页面，单击“启动”来下发任务。

前提条件

已创建扫描任务，扫描计划为“立刻扫描”，且在创建时未启动任务。

操作步骤

(1)登录CSOC控制台。

(2)进入“安全防范 > 漏洞扫描 > 任务管理”页面。

(3)选择目标任务，单击“启动”，系统开始下发任务。

操作结果

任务下发后，在“任务管理”页面，扫描状态显示为“扫描中”，待扫描结束后，您可以查看扫描结果。

7.4.4.7 查看扫描结果

1.扫描状态

任务扫描结束后，在“任务管理”页面，扫描状态显示为“已完成”。

2.下载报告

“安全防范 > 漏洞扫描 > 任务管理”页面，单击操作列的“下载报告”，您可以将扫描结果下载到本地并查看，报告为Word格式。

如果扫描失败，结果为一个空数据的报告，文件内只包含基础扫描配置信息。

7.4.4.8 管理扫描任务

1.过滤查询扫描任务

进入“安全防范 > 漏洞扫描 > 任务管理”页面，您可以通过输入关键字或使用过滤漏斗过滤查找扫描任务。

2.编辑/删除扫描任务

在“任务管理”页面，单击“编辑”或“删除”即可编辑任务或删除任务。

7.4.4.9 管理扫描探针

在“探针管理”页面，单击“编辑”或“删除”即可编辑探针或删除探针。

为解决告警事件数量庞大，分析和处置方法复杂，告警事件无法统一管理等问题，CSOC 的威胁检测模块提供了安全告警事件统一处置与响应功能，帮助用户集中处理全网安全事件，提升安全运营效率。

您可以在“威胁检测”页面查看所有告警事件详情和处理建议、Top10风险工作负载和Top10告警类型。

“威胁检测”页面展示的是聚合的告警，“告警详情”展示的是满足聚合条件的最新一条告警的详细信息。

CSOC 提供的安全告警事件统一处置与响应功能包括：

支持多种告警类型，如：进程异常行为、反弹shell、可信环境异常、横向移动、网页木马、网络威胁、异常登录、网络侦察、恶意软件查杀、拒绝服务攻击、Web攻击、APT、网络异常行为、DDoS防护告警、DGA域名检测等。

精准安全告警识别：通过集成商业威胁情报能力对原始告警二次分析，富化关键信息，实现告警动态定级，降低信息过载。

一站式告警处置：用户可通过云安全中心，针对各类告警执行不同处置方案，包括忽略、误报、线下处理操作等，后续会联动XDR设备实现一键封禁功能，针对无法快速处置告警，可参考处置建议，灵活应变。

简介

CSOC针对接入的资产、日志设备等提供安全告警事件统一处置与响应功能。

面对数量庞大的告警信息，您可以通过设置过滤条件缩小范围，快速定位到目标告警事件。

如果您不设置过滤条件，“威胁检测”页面默认展示最近1天内的所有告警事件。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(3)设置过滤查找条件。

单击左上角第1行的第1个选择框，在下拉选项中选择查询的关键标签；在第2个输入框中输入关键字或选择更详细的标签，单击搜索图标，页面根据条件过滤展示。

(4)选择告警事件产生的时间范围。

单击左上角第2行的时间范围选项或自定义时间范围后，页面刷新展示该时段内的告警信息。

操作结果

您可以查看Top10风险工作负载和告警类型。

系统对所有告警事件进行统计分析，以柱形图展示产生告警事件总数为Top10的风险工作负载，以环型图展示告警数量为Top10的告警类型。

通过查看所有时间或指定时间范围内的风险资产和告警类型排名，帮助您快速了解存在较高风险的资产和较为活跃的告警类型。

查看告警详情记录。

“告警详情”区域展示的是满足聚合条件的最新一条告警的详细信息，以列表形式展示所有的告警事件记录，包括告警等级、告警类型、关联的风险资产、告警处理状态、发生时间、异常分析、处理建议等，帮助您概览所有告警事件。

简介

“告警详情”区域展示的是满足聚合条件的最新一条告警的详细信息，以列表形式展示所有的告警事件信息，包括告警等级、告警类型、关联的风险资产、告警处理状态、发生时间、异常分析、处理建议等，帮助您概览所有告警事件。

通过查看每条告警事件的详情与处理建议，您可以更清晰地了解资产存在的风险、异常行为分析等，并根据修复建议排查、处理告警。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(3)（可选）设置过滤查找条件和时间范围，页面刷新展示。

(4)在“告警详情”区域，查看告警等级、告警类型、关联资产信息、告警处理状态、发生的时间等信息。

如果告警已被处理，“告警状态”列显示为“已处理（处理方式）”，操作列的“告警处置”不可操作。

(5)单击目标告警事件操作列的“详情与建议”，弹出“详情与建议”对话框。

如果告警事件已被处理，告警状态显示为“已处理（处理方式）”；如果告警未处理，您可以参考本对话框中的分析和修复建议，单击对话框中的“告警处置”处理告警，具体处理方式参见处理告警。

单击“查看原始日志”，跳转到“日志审计 > 日志检索”页面查看满足该聚合条件的所有原始告警日志，方便用户进行更详细全面的分析回溯。

简介

当资产存在风险、接入的日志设备产生告警等情况时，为了您的资产安全，建议您及时处理这些告警，减少由于使用未知或遭到篡改的系统/软件/应用遭到攻击的可能性。

限制与指导

已处理的告警无法再执行告警处理。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“威胁检测”，进入“威胁检测”页面。

(3)参见过滤查看告警事件，筛选出目标告警。

(4)进入“告警处置”对话框。

方式1：在“告警详情”区域，选择待处理的告警，单击操作列的“告警处置”，弹出“告警处置”对话框。

方式2：在“告警详情”区域，选择待处理的告警，单击操作列的“详情与建议”，弹出“详情与建议”对话框，在对话框中单击“告警处置”，弹出“告警处置”对话框。

(5)在“告警处置”对话框中，选择处理方式。

发生告警时，建议您先确认异常原因后再根据实际情况选择告警处理方式。

简介

您可以根据需要导出告警数据。

限制与指导

系统默认导出当前页面的告警数据，即如果您进行了筛选展示，系统只导出筛选过后的告警数据。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(3)（可选）参见过滤查看告警事件，筛选出您需要的信息。

(4)在“告警详情”区域，单击右上方的“导出”，可将告警数据导出到本地。

简介

CSOC支持自动化攻击溯源，可对攻击事件进行自动化溯源并提供原始数据预览。CSOC对所有告警都支持攻击溯源。

攻击溯源指结合多种云产品原始日志、主机/容器告警日志，通过大数据分析引擎对数据进行加工、聚合、可视化，最后形成攻击者入侵的链路图，帮助您在最短时间内定位入侵原因和制定应急决策。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(3)（可选）筛选出目标告警，参见过滤查看告警事件。

在“告警详情”区域，找到要查看攻击溯源的告警，单击告警类型列右侧的，进入攻击溯源页面。

(5)您可以设置查看步长。在攻击链路拓扑图中，您可以查看攻击告警名称、告警类型、进程、风险资产、攻击源IP、HTTP日志等内容，以及该攻击溯源事件整个链路中各个节点的信息。单击各个节点，您可以查看该节点的相关信息。

单击各个节点，您可以查看该节点的相关信息。如，单击“风险资产”，可查看资产信息；单击“告警”图标，可查看详细的事件描述，单击“查看原始日志”，调整至“日志审计 > 日志检索”页面查看原始报文等。

7.5.7.1 概述

CSOC支持将信任的告警添加到白名单策略中，加白后，系统不再对符合白名单规则的事件告警。

您可以通过以下方式添加对应的白名单规则：

在处理告警事件时，通过“告警处置”中的“加白”方式添加，具体参见处理告警中的“加白”说明。

在“威胁检测 > 告警白名单”页面，通过“新建告警白名单”自行创建白名单规则，具体参见新建告警白名单。

7.5.7.2 新建告警白名单

简介

您可以将信任的告警类型添加到告警白名单中，系统在检测时不再产生相应的告警。

例如：如果您确认某进程为正常业务进程，并清楚该进程源文件的MD5值，您便可自定义白名单规则，将该进程源文件加入到白名单列表中。

操作步骤

(1)登录CSOC控制台。

(2)进入“威胁检测”页面。

(3)单击右上角“告警白名单”，进入“告警白名单”页面。

(4)单击“新建告警白名单”，弹出“新建策略白名单”对话框。

(5)在“新建告警白名单”对话框中，配置参数。

(6)参数配置完成后，单击“确定”，告警白名单新建成功。

新建成功的告警白名单显示在“告警白名单”页面中。

后续操作

您可以在“告警白名单”页面中，编辑、删除、启用/禁用白名单，详细见管理告警白名单。

7.5.7.3 管理告警白名单

1.编辑告警白名单

简介

当您发现白名单中的规则无法满足您的实际情况或策略有误时，您可以修改告警白名单的匹配规则等信息。

操作步骤

(1)登录CSOC控制台。

(2)进入“威胁检测 > 告警白名单”页面。

(3)选择目标规则，单击操作列的“编辑”，弹出“编辑告警白名单”对话框。

(4)在“编辑告警白名单”对话框中，修改参数。可参见新建告警白名单。

(5)参数修改完成后，单击“确定”，告警白名单规则修改成功。

2.删除告警白名单

简介

当您不需要某条白名单规则时，您可以删除该白名单。删除后，白名单不再生效。

前提条件

策略状态为“开启”时，不允许删除，请先将该策略置为关闭状态。

操作步骤

(1)登录CSOC控制台。

(2)进入“威胁检测 > 告警白名单”页面。

(3)选择目标策略，单击操作列的“删除”，弹出“删除”确认对话框。

(4)单击“确定”，删除成功。

删除成功的白名单不再显示在“告警白名单”页面中。

3.启用/禁用告警白名单

简介

当您希望启用或禁用某条白名单时，您可以通过修改告警白名单的状态实现。

操作步骤

(1)登录CSOC控制台。

(2)进入“威胁检测 > 告警白名单”页面。

(3)选择目标策略，单击策略状态列的或，即可完成修改。

：启用白名单策略规则，白名单创建后即刻生效，系统不再产生告警。

：禁用此策略，白名单规则不生效。

云安全中心支持实时检测资产中的安全告警事件，覆盖网页木马、进程异常、持久化后门、异常登录、恶意进程等安全告警类型。通过多种威胁检测模型，提供全面的安全告警类型检测，帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。

您可以在“威胁检测”页面查看检测出的安全告警事件。

1.进程异常行为

进程异常行为是指实时监控容器或主机内所有异常进程执行的行为，告警包括访问恶意下载源、代理软件调用、清理痕迹、信息收集、后门进程、可疑命令、操作敏感文件、agent威胁操作、修改关键文件、渗透常用工具、远程文件执行、进程异常写文件。

在“威胁检测”页面的下拉菜单中，告警类型选择进程异常行为，单击“确认”即可筛选此类告警数据。

2.反弹shell

云安全中心产品实时监控容器、主机内所有利用shell进行反向连接的行为，当有反向连接行为发生时，云安全中心产品将及时告警。反弹shell告警类型包括Linux工具反弹shell、编程语言反弹shell、BASH反弹shell。

在“威胁检测”页面的下拉菜单中，告警类型选择反弹shell，单击“确认”即可筛选此类告警数据。

3.可信环境异常

检测服务器的系统进程是否存在修改、启动过程是否出现异常等问题。

在“威胁检测”页面的下拉菜单中，告警类型选择可信环境异常，单击“确认”即可筛选此类告警数据。

4.网页木马

云安全中心产品可以对Web目录下的文件内容进行检测，发现是否存在有web后门文件。若发现存在后门文件，则会在威胁检测中告警，包括JSP木马、PHP木马、其他网页木马等。

在“威胁检测”页面的下拉菜单中，告警类型选择网页木马，单击“确认”即可筛选此类告警数据。

5.异常登录

云安全中心产品支持暴力破解告警、异地登录告警、异常时间登录告警、异常账号登录告警以及异常IP登录告警。

在“威胁检测”页面的下拉菜单中，告警类型选择异常登录，单击“确认”即可筛选此类告警数据。

6.网络侦察

扫描端口、网络，检测Web弱口令是否合规等。

在“威胁检测”页面的下拉菜单中，告警类型选择网络侦察，单击“确认”即可筛选此类告警数据。

7.网络威胁

检测系统服务器中的僵尸网络、远控木马、后门程序、恶意域名访问、DGA域名检测、DNA隐藏隧道、可疑VPN、可疑的SSL加密通道等。

在“威胁检测”页面的下拉菜单中，告警类型选择网络威胁，单击“确认”即可筛选此类告警数据。

使用与限制

云安全中心支持DGA域名检测。

DGA域名检测需确保在云工作负载保护CWP中开启“网络异常行为”全局开关。

8.恶意软件查杀

检测系统是否遭受恶意软件攻击，对可能的恶意软件进行查杀。

在“威胁检测”页面的下拉菜单中，告警类型选择恶意软件查杀，单击“确认”即可筛选此类告警数据。

9.拒绝服务攻击

检测DDoS流量攻击等行为。

在“威胁检测”页面的下拉菜单中，告警类型选择拒绝服务攻击，单击“确认”即可筛选此类告警数据。

10.Web攻击

检测Web攻击行为，包括跨站脚本攻击、跨站请求伪造、Webshell等。

在“威胁检测”页面的下拉菜单中，告警类型选择Web攻击，单击“确认”即可筛选此类告警数据。

11.APT

在“威胁检测”页面的下拉菜单中，告警类型选择APT，单击“确认”即可筛选此类告警数据。

12.网络异常行为

云安全中心产品通过实时采集客户端DGA、DNS、socket对外连接数据，与商业威胁情报匹配完成网络异常行为发现功能，其中包括但不限于矿池通讯行为、访问恶意域名、APT活动事件等异常网络行为。

在“威胁检测”页面的下拉菜单中，告警类型选择网络异常行为，单击“确认”即可筛选此类告警数据。

13.病毒木马

云安全中心的病毒木马功能支持对服务器、容器内所有进程文件实时检测、发现病毒文件告警时提供关闭进程、隔离文件、隔离后恢复等处置能力，形成安全闭环。

在“威胁检测”页面的下拉菜单中，告警类型选择病毒木马，单击“确认”即可筛选此类告警数据。

14.持久化后门

云安全中心产品支持检测服务器中存在的持久化后门，如果发现持久化后门将触发告警，包括恶意启动项、SSH免登录key后门、后门账户等。

在“威胁检测”页面的下拉菜单中，告警类型选择持久化后门，单击“确认”即可筛选此类告警数据。

15.横向移动

蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。主要作用在于迷惑入侵者，保护服务器；抵御入侵者，加固服务器和诱捕网络罪犯。

云安全中心产品支持检测服务器中的横向移动，记录攻击流量，为后续溯源分析提供有效的数据支撑。

在“威胁检测”页面的下拉菜单中，告警类型选择横向移动，单击“确认”即可筛选此类告警数据。

16.容器逃逸

云安全中心产品支持检测容器逃逸告警，告警类型包含：漏洞利用、内核逃逸、Node敏感目录挂载、特权容器、敏感权限、runc逃逸、Netfilter提取、sudo提权、suid提权等。

在“威胁检测”页面的下拉菜单中，告警类型选择容器逃逸，单击“确认”即可筛选此类告警数据。

17.本地提权

本地提权是指攻击者利用系统漏洞或错误配置，通过在已经获得访问权限的计算机上执行代码或利用漏洞，从而获取更高权限或访问敏感信息的过程。

CSOC支持检测本地提权告警，告警类型包含：sudo提权、suid提权等。

在“威胁检测”页面的下拉菜单中，告警类型选择“本地提权”，单击“确认”即可筛选此类告警数据。

7.6.1.1 概述

云安全中心 CSOC 通过接入云原生防火墙CNFW设备，对入云流量做分析，如果达到致命级别，就会关联路径上的安全设备予以封禁。系统支持手动添加封禁IP、手动封禁、解封等；通过API调用方式下发策略到该租户的CNFW设备中实现封禁联动。

7.6.1.2 添加封禁IP

简介

您可以手动添加封禁IP，在封禁IP添加成功后，可以通过手动封禁封禁该IP，封禁时长为手动封禁时设置的时长。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“调查响应 > 封禁处置”，进入封禁处置页面。

(3)单击“添加封禁IP”，弹出“添加封禁IP”对话框。

(4)设置参数后，单击“确定”，封禁IP添加成功。

后续操作

在封禁IP添加成功后，可以通过手动封禁封禁该IP，封禁时长为手动封禁时设置的时长。

7.6.1.3 手动封禁

(1)登录CSOC控制台。

(2)单击左侧导航栏的“调查响应 > 封禁处置”，进入封禁处置页面。

(3)单击封禁IP对应操作列的“封禁”，在弹出的对话框中输入封禁设备、封禁原因、封禁时长，单击“保存”即可封禁此IP。

7.6.1.4 封禁生效时长说明

7.6.1.5 解封

(1)登录CSOC控制台。

(2)单击左侧导航栏的“调查响应 > 封禁处置”，进入封禁处置页面。

(3)单击封禁IP对应操作列的“解封”，在弹出的对话框中输入解封原因，单击“保存”即可解封此IP。

7.6.1.6 删除封禁IP

限制与指导

如果IP已封禁，请先解封，才可删除；删除后不再对此IP进行封禁。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“调查响应 > 封禁处置”，进入封禁处置页面。

(3)通过两种方式删除。

方式一：单个删除。

单击封禁IP对应操作列的“删除”，在弹出的对话框中确认即可删除此IP。

方式二：批量删除。

勾选要删除的IP，单击左下方的“删除”，在弹出的对话框中确认即可删除选中的IP。

7.6.1.7 导出封禁列表

您可将当前页面的封禁列表信息以.csv格式导出到本地。

(1)登录CSOC控制台。

(2)单击左侧导航栏的“调查响应 > 封禁处置”，进入封禁处置页面。

(3)单击右上角的导出图标，可将当前状态下的封禁列表信息以.csv格式导出到本地。

7.6.2.1 概述

CSOC提供威胁情报中心平台，可基于IP、域名、文件MD5等信息进行情报检索，查看详细的情报信息；同时支持导入csv格式的情报信息、手动创建第三方厂商情报信息。

7.6.2.2 检索威胁情报信息

简介

“情报中心”提供了一个查询威胁情报的入口，您可以查询系统内置的、或第三方厂商情报信息。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“调查响应 > 情报中心”，进入“情报中心”页面。

(3)在输入框中输入想查询的情报信息，如IP、域名、文件MD5值等。

(4)单击“搜索”，展示威胁情报详情（如威胁对象、威胁标签、威胁等级、首次发现时间等等）。

CSOC 可对接入的平台日志（云工作负载安全、云服务器、数据库审计、云堡垒机、云原生防火墙、TCS告警日志等）进行审计规则匹配，命中规则后产生审计事件。

“日志审计”页面提供日志审计结果概览、全量日志查询与分析、审计策略管理。您可在此页面执行与日志审计相关的操作。

1.日志审计功能正常使用的前提条件

请确认开通 CSOC 实例时已购买了日志审计资产授权数，并通过“换规格”授权（见切换服务规格）。

已完成多源日志接入配置。

2.审计日志存储说明

每个租户的日志存储容量最大为100GB，当日志存储达到容量阈值时，系统进行删除，删除比例为25%。

您可以在“审计概览”页面右上方的“存储使用量”查看当前存储情况。

每个租户的日志存储时间最长为180天，系统自动清理超过180天的数据。

3.查看日志审计字段说明

您可以在“日志检索”页面单击右上方的“字段说明”，将“日志审计字段说明”文件下载到本地，查看审计日志接入的日志类型和字段说明、审计告警接入的字段说明。

简介

“审计概览”页面展示接入平台的日志审计结果概览，包括原始日志发展趋势、审计事件发展趋势、不同审计类型的日志量、日志量备份情况等。

前提条件

请确认开通 CSOC 实例时已购买了日志审计资产授权数，并通过“换规格”授权（见切换服务规格）。

已完成多源日志接入配置。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 审计概览”，进入“审计概览”页面。

(3)（可选）设定统计分析的时间范围。

单击“近1天”、“近7天”、“近14天”、“近30天”或自定义时间，页面刷新展示原始日志发展趋势、审计事件发展趋势、审计类型日志量、审计类型日志量备份。

(4)（可选）单击可下载趋势图。

(5)（可选）单击右上角的“字段说明”，下载日志审计字段说明pdf文件。

7.7.3.1 概述

您可以在“日志检索”页面查询接入平台（云服务器、云数据库、云堡垒机、云防火墙等）的云产品告警日志、攻击日志、访问日志等原始日志详情、报文匹配自定义审计策略产生的审计事件详情；也可以查看日志聚合后的统计结果。

7.7.3.2 查看/下载原始日志

简介

您可以在“原始日志”页面查看日志发展趋势、日志详情，或下载日志到本地。

前提条件

请确认开通 CSOC 实例时已购买了日志审计资产授权数，并通过“换规格”授权（见切换服务规格）。

已完成多源日志接入配置。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 日志检索”，进入日志检索页面。

(3)（可选）设置过滤筛选条件，查找日志。

选择需要查询的日志类型、时间或输入SQL语句单击“检索”，页面根据筛选条件刷新展示，各功能模块的说明见下文。

在输入SQL语句时，单击，弹出语法提示，您可根据提示的语法说明填写字段筛选条件；或参照附录中的日志检索语法说明检索；也可以参照日志详情中的“快速配置SOL检索语句”检索。

日志发展趋势

“日志发展趋势”以柱状图的形式展示在指定时间范围内，总共的日志条数以及各时间点的日志数量。

单击“隐藏”可隐藏“日志发展趋势”面板。

快速分析

“快速分析”区域展示所有原始日志里可选的字段、字段占比等信息。“可选字段”为系统出厂预置的。

在“可选字段”中单击，可将字段添加到“已选字段”中，此时“日志详情”区域只展示含“已选字段”的日志。

在“已选字段”中单击，可将字段移除出“已选字段”，此时“日志详情”区域根据当前情况展示日志（如果“已选字段”无字段，则默认展示所有字段；如果“已选字段”还有其他字段，只展示含“已选字段”的日志）。

注意：已选字段和可选字段的增加或减少会影响日志导出时日志字段数。

查看字段占比。

单击字段，弹出字段占比信息。

通过字段占比信息框，快速配置日志查询的SQL语句。

单击字段，弹出字段占比信息；再单击或，可将对应的字段设置为SOL检索语句，同时页面刷新展示。

表示“=”。：表示“!=”。

日志详情

在“日志详情”区域可查看具体日期内的原始日志详情，也可以查看字段占比、快速配置日志查询的SQL语句等。

查看占比

单击，展开日志详情；再单击字段前的，可查看字段占比信息。

快速配置SOL检索语句

单击，展开日志详情；再单击或，可将对应的字段设置为SOL检索语句，同时页面刷新展示。

表示“=”。：表示“!=”。

下载日志

在日志详情模块单击，可将当前展示的日志下载到本地。

7.7.3.3 查看/下载统计报表

简介

CSOC 支持丰富的报表展现形式，如：表格、柱状图、饼图、折线图等，可直观的展示日志统计信息。

前提条件

请确认开通 CSOC 实例时已购买了日志审计资产授权数，并通过“换规格”授权（见切换服务规格）。

已完成多源日志接入配置。

限制与指导

统计报表展示聚合后的数据，您必须在检索中输入符合“聚合模式”的SQL检索语句才能展示。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 日志检索”，进入日志检索页面。

(3)在“支持统计聚合查询，关联统计聚合查询”设置框中输入SQL语句，单击“检索”，系统根据SQL语句查询会自动跳转到统计报表页面。

(4)单击“日志聚合”页签，进入“日志聚合”页面。

(5)选择报表形式后，配置相应的报表属性，即可展示统计报表。

报表形式有：表格、折线图、柱状图、面积图、饼图、环图、南丁格尔玫瑰图、散点图、条形图等。

7.7.4.1 概述

CSOC 根据审计策略对接入的日志进行匹配，若命中规则产生相应的审计事件。CSOC支持用户自定义审计规则。

7.7.4.2 新建审计策略

简介

您可以在 CSOC 中基于自身需求自定义审计规则。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 审计策略”，进入审计策略页面。

(3)单击“新建”，弹出“新建审计策略”对话框。

(4)根据下表中的参数说明配置参数信息。

(5)单击“确定”，自定义日志审计策略创建完成。

后续步骤

自定义审计规则创建成功并开启后，当产生审计事件时，您可以在“日志审计 > 审计概览”和“日志审计 > 日志检索”中查看相关告警数据。

7.7.4.3 审计策略管理

简介

您可以基于策略状态、策略类型、规则名称等快速查看系统内置的和自定义的审计策略，也可以对修改或删除自定义策略。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 审计策略”，进入审计策略页面。

(3)对目标策略执行编辑/删除/开启/关闭等操作：

单击策略操作列的“编辑”，可修改此策略。

单击策略操作列的“删除”，可删除此策略。

单击策略状态列的或，可开启或关闭此策略。

7.7.5.1 概述

多源日志接入模块，可收集、解析、转发多种安全设备日志。您可以在“多源日志接入”模块创建日志采集探针、配置日志采集方式，并可对接入的设备进行管理，包括增删改查厂商、设备等；您还可以对接入的日志表进行查询、新建、下发、删除等操作。

7.7.5.2 准备工作

如果您想正常使用多源日志接入功能，需确保：

已开通企业版CSOC实例且实例正常（即实例不存在欠费、到期等状态）。

至少为1项资产分配了日志审计授权，具体操作可参见切换服务规格。

已创建或已存在可用VPC。

创建日志采集探针时，需绑定VPC，所以您需要确保存在可用的VPC，否则请到“专有网络 VPC”开通，开通操作参见《专有网络VPC用户指南》。

7.7.5.3 配置流程说明

(1)创建探针。

在“日志审计 > 多源日志接入 > 接入探针”页面创建日志采集探针，绑定VPC。

(2)（可选）新建日志表。

如果您想创建专家模式的日志接入模板，可事先创建日志存储表。

(3)新建接入模板（基础模式）、新建接入模版（专家模式）。

在“日志审计 > 多源日志接入 > 接入模板”页面为设备创建日志接入模板。

(4)新建设备。

在“日志审计 > 多源日志接入 > 接入设备”页面创建日志接入的设备信息，在接入设备中绑定日志采集探针、配置日志接入方式等。

(5)启动设备。

设备启动成功后，CSOC 便可正常采集到设备发送到探针的日志信息了。

(6)查看日志审计信息。

在启动设备后，探针开始采集设备上的日志信息，并根据接入模板中的解析规则解析日志。您可以在“日志审计”的“审计概览”页面查看该设备的日志审计信息，在“日志检索”页面查询改设备的原始日志解析结果，在“审计策略”页面配置针对此设备的规则策略。

7.7.5.4 接入探针

1.创建探针

简介

您需要通过“创建探针”创建日志采集探针，该探针在与设备绑定后，将用于采集该设备上的日志信息。

前提条件

已创建专属网络VPC或存在可用的VPC。

限制与指导

同一VPC只可创建一个探针。

操作步骤

(1)登录CSOC控制台。

(2)进入“日志审计 > 多源日志接入 > 接入探针”页面。

(3)单击“创建探针”，弹出“新建探针”对话框。

(4)配置参数。

(5)单击“确定”，返回“接入探针”页面。

请等待一会，探针状态从“创建中”变为“可用”时表示探针创建成功。您可以单击刷新图标刷新探针的状态。

2.编辑探针

您可以编辑探针的名称和描述信息，但不可更改绑定的VPC和子网信息。

(1)登录CSOC控制台。

(2)进入“日志审计 > 多源日志接入 > 接入探针”页面。

(3)找到要修改的探针，单击操作列的“编辑”，弹出“编辑探针”对话框。

(4)修改探针名称和描述信息。

探针名称唯一，不允许重复。

(5)单击“确定”，弹出“探针编辑成功”的提示信息，修改成功。

3.删除探针

已绑定设备的探针不允许删除，请您先删除该设备，删除操作可参见编辑 / 删除设备。

(1)登录CSOC控制台。

(2)进入“日志审计 > 多源日志接入 > 接入探针”页面。

(3)找到要删除的探针，单击操作列的“删除”，弹出“删除探针”对话框。

(4)单击“确定”，删除成功。

探针删除成功后，绑定的VPC被释放，您可创建新的探针绑定VPC。

7.7.5.5 表管理

1.简介

“表管理”中包含2种类型的日志表：

在配置日志接入模板-基础模式时，系统根据勾选的字段后台自动生成的日志表，此类型日志表不允许编辑和删除；在删除相应的接入模板后，系统自动删除对应的日志表。

用户自定义的日志表，在下发成功后可在配置日志接入模板-专家模式中被设置为日志的存储表；此类型日志表允许编辑和删除。自定义的日志表可灵活设置字段、字段类型等信息。

2.新建日志表

简介

您可以自定义日志表，在下发成功后可在配置日志接入模板-专家模式中被设置为日志的存储表。自定义的日志表可灵活设置字段、字段类型等信息。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 多源日志接入”，进入多源日志接入页面。

(3)单击“表管理”页签，进入“表管理”页面。

(4)单击“新建日志表”，弹出“新建日志表”对话框。

(5)配置参数后，单击“确定”，日志表创建成功。

“表管理”页面新增创建成功的日志表信息，“状态”显示为“待下发”。

后续操作

下发日志表

3.下发日志表

简介

日志表在创建成功后，您必须执行下发操作，后台才能创建出指定的数据库表。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 多源日志接入”，进入多源日志接入页面。

(3)单击“表管理”页签，进入“表管理”页面。

(4)找到目标表，单击操作列的“下发”，弹出“下发成功”提示信息，“状态”列显示“下发中”。

下发成功后，后台创建对应的日志表，“状态”列显示“已下发”。

4.编辑 / 删除日志表

(1)登录CSOC控制台。

(2)进入“日志审计 > 多源日志接入 > 表管理”页面。

(3)编辑或删除日志表。

编辑日志表信息：单击目标表操作列的“编辑”，编辑该日志表信息。

删除日志：单击目标表操作列的“删除”，删除该日志表。

5.查看日志表

简介

所有下发成功、在后台已创建出指定的数据库表的日志表都支持查看日志表基本信息和字段内容。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 多源日志接入”，进入多源日志接入页面。

(3)单击“表管理”页签，进入“表管理”页面。

(4)找到目标表，单击操作列的“查看”，弹出“查看”对话框，您可以在对话框中查看日志表名、存储天数、字段等信息。

7.7.5.6 接入模板

1.简介

您可以通过“新建接入模板”或复制已有的模板为设备配置日志接入、解析的模板。系统支持两种日志解析模式：基础模式和专家模式。

2.新建接入模板（基础模式）

简介

“基础模式”支持少量的解析方式，建议对logstash了解较少的用户使用此模式，或针对简单的日志格式接入时使用此模式。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 多源日志接入”，默认进入“接入设备”页面。

(3)单击“接入模板”页签，进入“接入模板”页面。

(4)单击“新建”，弹出“请选择模板类型”对话框。

(5)选择基础模式，进入新建模板页面。

(6)配置解析参数。

a.在解析页面，可根据需要自定义模板名称，设置日志解析方式、日志样例和解析规则。

解析方式支持3种：grok格式解析、json格式解析、mutate解析。

不同解析方式的解析规则有所不同，配置完解析方式、日志样例、解析规则后，可以单击“测试”查看解析结果。

b.（可选）单击“继续添加解析”，添加新的解析方式和规则等。

c.完成后单击“下一步”。

(7)设置日志的建表字段。

a.勾选建表字段。

勾选后，系统将以这些字段去创建数据库表，用来存储该类型的日志，您可以在“多源日志接入 > 表管理”查看生成的对应的日志表，同时这些字段将在“日志审计 > 日志检索”页面的“可选字段”、“日志详情”区域展示。

b.（可选）添加字段描述。

c.配置完成后单击“下一步”。

(8)配置日志转发策略。

日志转发方式选择clickhouse（存为审计），单击“添加转发”。

clickhouse（存为审计）适用于外发给第三方安全运营中心、仅存储审计日志，为日志分析做准备的场景。

(9)单击“保存”，接入模板创建成功。

后续操作

日志接入模板创建成功后，你可以新建设备，在设备中绑定日志接入解析模板。

3.新建接入模版（专家模式）

简介

“专家模式”支持较多的解析方式，用户可自定义logstash配置文件中的filter模块。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 多源日志接入”，进入多源日志接入页面。

(3)单击“接入模板”页签，进入“接入模板”页面。

(4)单击“新建”，弹出“请选择模板类型”对话框。

(5)选择专家模式，进入新建模板页面。

(6)配置解析参数。

根据需要自定义模板名称、填写日志解析配置，完成后单击“下一步”。

(7)配置日志转发策略

您可以通过“添加转发规则”添加多条转发规则。

a.配置日志转发目的的参数。

b.单击“添加转发规则”，日志转发规则配置成功。

如果您只添加一条转发规则，在配置完成后可直接跳转至步骤（8）；如果还需添加多个转发规则或修改已有的日志转发规则，可参考步骤c、步骤d。

c.（可选）如果需要配置多个转发规则，可重复步骤a、步骤b中的操作，选择将不同类型的日志存储到不同的表中。

d.（可选）如果您在保存前想重新修改日志转发规则，可在已添加的转发规则右侧单击，并在参数配置区域修改参数，修改完后单击“确认”，修改成功。

e.（可选）如果您在保存前想删除某条日志转发规则，可在该条规则右侧单击 。

(8)单击“保存”，接入模板创建成功。

后续操作

日志接入模板创建成功后，你可以新建设备，在设备中绑定日志接入解析模板。

4.复制接入模板

简介

您可以通过“复制”的方式快速创建日志接入模板。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 多源日志接入”，进入多源日志接入页面。

(3)单击“接入模板”页签，进入“接入模板”页面。

(4)找到要复制的模板，单击操作列的“复制”，进入相应的配置界面。

根据源接入模板的类型（基础模式或专家模式），参见新建接入模板（基础模式）、新建接入模版（专家模式）完成配置。

复制的模板名称默认添加“复制_当前时间戳”字样。

5.编辑 / 删除接入模板

简介

您可以编辑、删除不需要的日志接入模板；删除模板后，系统自动删除对应的日志表配置。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 多源日志接入”，默认进入“接入设备”页面。

(3)单击“接入模板”页签，进入“接入模板”页面。

(4)编辑或删除模板。

单击目标接入模板操作列的“编辑”，编辑该接入模板信息。

单击目标接入模板操作列的“删除”，删除该接入模板。

7.7.5.7 接入设备

1.新建设备类型

简介

您可以通过创建日志接入设备的类型，将某些属性或用途相同的设备归类管理。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 多源日志接入”，默认进入“接入设备”页面。

(3)在左侧“设备类型”区域，单击“新建设备类型”，弹出“新建设备类型”对话框。

(4)根据下表中的参数说明配置参数信息后，单击“确定”，新增设备类型成功。

新增成功的设备类型显示在左侧“设备类型”区域。

后续操作

您可以再添加子设备类型（参见新建设备子类型）；或直接添加新的设备进行管理（参见新建设备）。

2.新建设备子类型

简介

您可以为已有的设备类型添加子类型，以进行更细致的设备管理。

限制与指导

子类型下不允许再创建下一级子类型。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 多源日志接入”，默认进入“接入设备”页面。

(3)鼠标悬停在目标设备类型后的上，在下拉选项中选择“增加子类型”，弹出“新建设备类型”对话框。

(4)根据下表中的参数说明配置参数信息后，单击“确定”，新增设备类型成功。

新增成功的设备类型显示在左侧父设备类型下。

后续操作

您可以添加新的设备进行管理（参见新建设备）。

3.编辑 / 删除设备类型

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 多源日志接入”，默认进入“接入设备”页面。

(3)编辑或删除设备类型。

鼠标悬停在目标设备类型后的上，在下拉选项中选择“编辑类型”，可编辑该设备类型信息。

鼠标悬停在目标设备类型后的上，在下拉选项中选择“删除类型”，可删除该设备类型。

4.新建设备

简介

您可以通过“新建设备”添加被采集日志的设备信息并绑定日志采集探针、日志接入解析模板，新建成功后可以启动设备，系统将使用该探针采集此设备的日志信息并根据解析规则解析。

前提条件

请确保日志采集探针已创建成功，具体操作见创建探针。

请确保已完成新建接入模板（基础模式）或新建接入模版（专家模式）。

（可选）新建设备前，您可以先为此设备新建设备类型、新建设备子类型。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 多源日志接入”，默认进入“接入设备”页面。

(3)（可选）单击设备类型，选择要在哪个设备类型下创建设备。

(4)单击“新建设备”，弹出“新建设备”对话框。

(5)根据下表中的参数说明配置参数信息后，单击“确定”完成新建设备操作。

后续操作

你可以启动设备进行日志采集。

5.编辑 / 删除设备

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 多源日志接入”，默认进入“接入设备”页面。

(3)编辑或删除设备。

编辑设备信息：单击目标设备操作列的“编辑”，编辑该设备信息。

删除设备：单击目标设备操作列的“删除”，删除该设备。

6.启动设备

简介

通过启动设备，探针开始采集设备上的日志信息，CSOC 方可正常采集到该租户VPC内的设备发送到探针的日志信息了。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 多源日志接入”，默认进入“接入设备”页面。

(3)在目标设备的“操作列”，单击“启动”，设备开始启动。

操作结果

设备启动成功后，探针开始采集设备上的日志信息，并根据接入模板中的解析规则解析日志。您可以在“日志审计”的“审计概览”页面查看该设备的日志审计信息，在“日志检索”页面查询改设备的原始日志解析结果，在“审计策略”页面配置针对此设备的规则策略。

7.停止设备

简介

您可以通过“停止”操作停止设备的日志采集和接入。

前提条件

已启动设备。

操作步骤

(1)登录CSOC控制台。

(2)单击左侧导航栏的“日志审计 > 多源日志接入”，默认进入“接入设备”页面。

(3)在已启动的目标设备的“操作列”，单击“停止”即可。

7.8.1.1 概述

云安全中心支持通过短信、站内信、邮件的方式向您发送告警通知。您可根据业务需要配置进程异常行为、网页木马、网络威胁、反弹shell、持久化后门等告警通知。

7.8.1.2 设置短信/邮件告警通知

(1)登录CSOC控制台。

(2)单击左侧导航栏的“系统设置 > 通知”，进入通知页面。

(3)单击操作列的“设置”，弹出“设置-威胁告警”对话框。

(4)根据需要选择告警类别、风险等级、通知方式和通知时间后，完成后单击“保存”。

(5)在“系统设置 > 通知”页面，设置消息通知开关为开启。

(6)若触发告警，则可以在短信、站内信或邮件查看通知信息。