本文介绍ECS操作合规的告警规则,包括ECS磁盘加密、自动快照策略、安全组变更等告警规则。通过设置并开启告警规则,可及时触发告警,有助于您快速发现ECS操作合规问题。
告警规则列表
支持的告警规则列表如下所示。设置告警参数、设置白名单等相关操作,请参见
管理告警规则。
ECS磁盘加密关闭告警
告警ID |
sls_app_audit_cis_at_ecs_disk_encry_detection |
告警名称 |
ECS磁盘加密关闭告警 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、ECS操作合规 |
作用 |
监控ECS磁盘加密关闭行为。ECS磁盘应该在服务端开启加密,关闭加密会触发告警。 |
执行频率 |
固定时间间隔:1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
严重度:严重、高、中、低、报告。默认值为高。
|
外部配置 |
允许磁盘不加密的账号白名单。关闭白名单账号下磁盘的加密功能后,不会触发告警。 |
消除方法 |
禁止白名单以外账号下的磁盘关闭加密功能。 |
前提条件 |
确保已在日志审计服务中的中打开操作审计(ActionTrail)操作日志的开关。
|
ECS自动快照策略关闭告警
告警ID |
sls_app_audit_cis_at_ecs_auto_snapshot_policy |
告警名称 |
ECS自动快照策略关闭告警 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、ECS操作合规 |
作用 |
监控ECS自动快照策略的关闭行为。ECS磁盘建议使用自动快照策略进行自动备份,关闭自动快照策略会触发告警。 |
执行频率 |
固定时间间隔:1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
严重度:严重、高、中、低、报告。默认值为高。
|
外部配置 |
允许取消磁盘自动快照策略的账号白名单。白名单账号下磁盘的自动快照策略被关闭后,不会触发告警。 |
消除方法 |
禁止白名单以外账号下的磁盘关闭自动快照策略。 |
前提条件 |
确保已在日志审计服务中的中打开操作审计(ActionTrail)操作日志的开关。
|
安全组配置变更告警
告警ID |
sls_app_audit_cis_at_securitygroup_change |
告警名称 |
安全组配置变更告警 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、ECS操作合规 |
作用 |
监控安全组配置变更行为。ECS安全组的配置发生变更时会触发告警。 |
执行频率 |
固定时间间隔:1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
严重度:严重、高、中、低、报告。默认值为高。
|
外部配置 |
允许进行安全组配置变更的子账号白名单。白名单中的账号进行安全组配置变更时,不会触发告警。 |
消除方法 |
禁止白名单以外的账号进行安全组配置变更。 |
前提条件 |
确保已在日志审计服务中的中打开操作审计(ActionTrail)操作日志的开关。
|
ECS网络类型检测
告警ID |
sls_app_audit_cis_at_ecs_network_type |
告警名称 |
ECS网络类型检测 |
版本号 |
1 |
类别 |
云平台、阿里云、CIS、ECS操作合规 |
作用 |
监控ECS网络类型是否存在异常。ECS建议使用专有网络VPC,创建经典网络的ECS会触发告警。 |
执行频率 |
固定时间间隔:1分钟 |
查询范围 |
过去2分钟 |
参数配置 |
严重度:严重、高、中、低、报告。默认值为中。
|
外部配置 |
允许ECS使用经典网络的账号白名单。白名单账号下创建使用经典网络的ECS,不会触发告警。 |
消除方法 |
禁止白名单以外的账号创建经典网络的ECS。 |
前提条件 |
确保已在日志审计服务中的中打开操作审计(ActionTrail)操作日志的开关。
|