云安全中心支持实时检测网页防篡改、进程异常、网站后门、异常登录、恶意进程等安全告警类型,通过全面的安全告警类型帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。

安全告警统计数据

云安全中心可对您已开启的告警防御能力提供总览数据,帮助您快速了解安全告警概况、已开启和未开启的防御项目。您可在云安全中心控制台安全告警处理页面,查看安全告警和防御项目的统计信息。

已开启防御和未开启防御的项目
云安全中心为您提供了全面的威胁检测能力。您可以单击威胁检测模型图标图标,查看云安全中心为您提供的威胁检测模型。威胁检测从攻击入口、载荷投递、权限提升、逃避检测等10个阶段,为您提供全链路的云上威胁检测,让风险无处遁形。威胁检测模型

安全告警统计数据如下:

  • 存在告警的服务器:展示存在告警的服务器数量。

    单击相应数值,可跳转到资产中心 > 服务器页面,查看存在安全告警的服务器的详细信息。

    存在告警的服务器
  • 待处理告警总数:展示您资产中所有待处理告警的数量。

    安全告警处理页面默认展示所有待处理告警信息,详细内容请参见查看和处理告警事件

  • 急需处理的告警:展示风险等级为紧急的告警事件的数量。

    单击相应数值,可在安全告警处理页面的安全告警事件列表中,集中查看风险等级为紧急的告警事件信息。

    建议您优先处理紧急状态的告警事件,处理告警事件的详细内容请参见处理告警事件

    云安全中心对安全告警风险等级的分类如下:
    • 紧急:即高危风险,表示您的服务器中检测到了入侵事件(例如反弹Shell等),建议您立即查看告警事件的详情并及时进行处理。
    • 可疑:即高危风险,表示服务器中检测到了可疑的异常事件(例如可疑CMD命令序列等),建议您查看该告警事件、判断是否存在风险并进行相应处理。
    • 提醒:即非高危风险,表示服务器中检测到了低危的异常事件(例如可疑端口监听等),建议您及时查看该告警事件的详情。
  • 精准防御:展示被云安全中心病毒查杀功能自动隔离的病毒数量。

    单击相应数值,可在安全告警处理页面精准防御类型告警列表中,查看被病毒查杀功能自动隔离的所有病毒信息。

    有关精准防御功能的设置方法,请参见主动防御

  • 生效IP拦截策略/全部策略: 云安全中心支持系统内置的IP拦截策略和自定义IP拦截策略。根据实际场景需要,您可对存在暴力破解风险的IP启用相应的IP拦截策略。如果确认某个策略拦截了正常流量,您可以禁用该策略。禁用该策略后,云安全中心不会再使用对应的防暴力破解规则拦截该IP,该IP将可以正常访问您的服务器。
    • 生效IP拦截策略:展示启用防暴力破解规则后拦截的记录数量。
    • 全部策略:展示云安全中心所有的防暴力破解规则拦截的记录数量。
    IP规则策略库

    有关IP拦截策略的详细内容,请参见设置IP拦截策略。有关创建防暴力破解规则的详细内容,请参见防暴力破解规则

  • 已隔离文件数:展示云安全中心对安全告警事件进行隔离处理后,隔离威胁文件的总数量。

    单击相应数值,可进入文件隔离箱页面,查看隔离文件信息。更多操作指导请参见文件隔离箱

有关云安全中心支持的安全告警防御项,请参见安全告警类型列表

除应用白名单和网页防篡改告警类型以外,云安全中心默认为用户开启所有的告警事件防御能力。
说明
  • 除应用白名单和网页防篡改告警类型以外,云安全中心默认为用户开启所购买版本支持的防御能力。如需开通网页防篡改等防御能力,需升级到基础杀毒版、高级版或企业版。有关升级的内容,请参见升级与降配
  • 应用白名单和网页防篡改是云安全中心的增值服务,需要您单独购买开通后才会开启应用白名单和网页防篡改的防御。网页防篡改为基础杀毒版、高级版和企业版功能,基础版不支持该功能。应用白名单详细操作请参见应用白名单;网页防篡改详细操作请参见网页防篡改开通服务
  • 云产品威胁检测为企业版功能,企业版自动开启防御;高级版需要升级至企业版后才能自动开启防御。

安全告警事件

安全告警事件是指云安全中心检测到的您服务器或者云产品中存在的威胁,这些威胁可以是某个恶意IP对您资产进行的攻击,也可以是您资产中已被入侵的异常情况,例如您的主机在执行恶意脚本或访问恶意下载源等。

您可以在威胁检测 > 安全告警处理页面查看您资产中检测出的安全告警事件。安全告警事件

安全告警类型列表

说明
  • 2018年12月20日起,云安全中心基础版只支持异常登录和其他-DDoS类型安全告警,若您需要启用更多高级威胁检测能力,需开通云安全中心基础杀毒版、高级版和企业版服务。
  • 云安全中心基础版基础杀毒版高级版企业版可检测的告警类型差异请参见功能特性
告警名称 告警说明
网页防篡改 实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。可检测以下子项:
  • 异常文件添加
  • 异常文件修改
  • 异常文件删除
说明 网页防篡改是云安全中心的增值服务,需要您单独购买开通后才会开启网页防篡改的防御。网页防篡改为基础杀毒版、高级版和企业版功能,基础版不支持该功能。有关网页防篡改的详细内容,请参见网页防篡改
进程异常行为 检测资产中是否存在超出正常执行流程的行为,包括以下子项:
  • Linux系统计划任务配置文件写入
  • Linux计划任务文件异常篡改
  • Linux可疑命令执行
  • 反弹Shell
  • Python应用执行异常指令
  • 利用Windows系统文件加载恶意代码
  • Windows调用mshta执行html内嵌脚本指令
  • 创建异常Windows计划任务
  • Windows regsvr32.exe执行异常指令
  • 访问恶意下载源
  • 可疑注册表配置项篡改
  • 异常调用系统工具
  • 执行恶意命令
  • 可疑特权容器启动
  • 启动项异常修改
网站后门 使用自主查杀引擎检测常见后门文件,支持定期查杀和实时防护,并提供一键隔离功能。
  • Web目录中文件发生变动会触发动态检测,每日凌晨扫描整个Web目录进行静态检测。
  • 支持针对网站后门检测的资产范围配置。
  • 对发现的木马文件支持隔离、恢复和忽略。
异常登录 检测服务器上的异常登录行为。通过设置合法登录IP、时间及账号,对于例外的登录行为进行告警。支持手动添加和自动更新常用登录地,对指定资产的异地登录行为进行告警。

可检测以下子项:

  • ECS非合法IP登录
  • ECS在非常用地登录
  • ECS登录后执行异常指令序列(SSH)
  • ECS被暴力破解成功(SSH)
相关内容请参见云安全中心检测和告警异常登录功能的原理
异常事件 检测程序运行过程中发生的异常行为。
敏感文件篡改 检测是否存在对服务器中的敏感文件进行恶意修改,包含Linux共享库文件预加载配置文件的可疑篡改等行为。
恶意进程(病毒云查杀) 采用云+端的查杀机制,对服务器进行实时检测,并对检测到的病毒文件提供实时告警。您可通过云安全中心控制台对病毒程序进行处理。

可检测以下子项:

  • 访问恶意IP
  • 挖矿程序
  • 自变异木马
  • 恶意程序
  • 木马程序
详细信息请参见病毒云查杀
异常网络连接 检测网络显示断开或不正常的网络连接状态。

可检测以下子项:

  • 主动连接恶意下载源
  • 访问恶意域名
  • 矿池通信行为
  • 可疑网络外连
  • 反弹Shell网络外连
  • Windows异常网络连接
  • 疑似内网横向攻击
  • 疑似敏感端口扫描行为(包括22、80、443、3389等常用端口)
异常账号 检测非合法的登录账号。
云产品威胁检测 检测您购买的其他阿里云产品中是否存在威胁,例如是否存在可疑的删除ECS安全组规则行为。
精准防御 病毒查杀功能提供了精准防御能力,可对主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型进行防御。开启该功能的详细操作请参见主动防御
应用入侵事件 检测通过系统的应用组件入侵服务器的行为。
持久化后门 检测服务器上存在的可疑计划任务,对攻击者持久入侵用户服务器的威胁行为进行告警。
应用白名单 通过在白名单策略中设置需要重点防御的服务器应用,检测服务器中是否存在可疑或恶意进程,并对不在白名单中的进程进行告警提示。
Web应用威胁检测 检测通过Web应用入侵服务器的行为。
恶意脚本 检测资产的系统功能是否受到恶意脚本的攻击或篡改,对可能的恶意脚本攻击行为进行告警提示。
DDoS攻击检测 检测DDoS流量攻击等网络入侵行为。