云安全中心的安全告警设置支持手动维护常用登录地和Web目录,并支持高级登录报警功能和防暴力破解功能。

背景信息

  • 云安全中心高级版企业版提供高级登录报警功能,支持配置更精细的异常登录检测,例如设置合法登录的IP、时间、账号。
  • 云安全中心支持自定义防暴力破解规则,配置更精准的防御规则阻止异常登录的访问,从而保护资产的安全。

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏,单击威胁检测 > 安全告警处理
  3. 单击页面右上角安全告警设置
    您可以进行以下操作。
    • 添加常用登录地
      1. 单击常用登录地右侧的添加按钮。常用登录地
      2. 选择要添加的常用登录地点,然后选择添加应用的服务器。应用的服务器
      3. 单击确定,完成添加。

      云安全中心支持编辑删除已成功添加的常用登录地。

      • 单击目标常用登录地右侧的编辑,修改该登录地的生效服务器。
      • 单击目标常用登录地右侧的删除,删除该常用登录地配置。
    • 配置高级登录报警
      说明 配置高级登录告警,可进一步指定合法的登录IP、时间段和账号。配置完成后,云安全中心会对非指定的登录情形进行告警。以下功能的操作类似常用登录地配置,可参考上文进行添加编辑删除
      • 单击合法登录IP右侧的切换开关,开启/关闭登录IP检查,开启后通过非指定IP登录会触发报警。合法登录IP
      • 单击合法登录时间右侧的切换开关,开启/关闭登录时间检查,开启后在非指定时间登录会触发报警。合法登录时间
      • 单击合法账号右侧的切换开关,开启/关闭登录账号检查,开启后使用非指定账号登录会触发报警。合法账号
    • 配置防暴力破解规则

      云安全中心提供防暴力破解功能,支持配置自定义暴力破解防御规则。

      1. 鼠标移动至防暴力破解右侧的添加,单击去授权
        说明 首次配置暴力破解防御规则需要操作授权,如果已经添加过暴力破解防御规则,忽略步骤a和步骤b,直接从步骤c开始添加防暴力破解规则。
        去授权
      2. 单击同意授权同意授权

        完成操作授权后,添加暴力破解防御规则。

      3. 回到安全告警设置 > 防暴力破解页签,单击防暴力破解右侧的添加
      4. 添加防御规则页面,配置规则,参数说明如下:添加防御规则
        参数 说明
        防御规则名称 可自定义规则名称。
        防御规则 设置某个时间范围(支持选择1分钟、2分钟、5分钟、10分钟、15分钟)内登录失败次数超过限定次数(支持选择2次、3次、4次、5次、10次、50次、80次、100次),禁止登录时长(支持选择5分钟、15分钟、30分钟、1小时、2小时、6小时、12小时、24小时、7天、永久)

        例如:1分钟内登录失败次数超过3次,禁止登录30分钟

        请选择对应的服务器 设置防御规则生效的服务器。支持直接选择云安全中心防护的服务器,或根据服务器名称/IP筛选指定服务器。
        设置为默认策略 设置该防御规则是否为默认策略。
      5. 单击确定
        说明 每一个服务器仅支持使用一个防御规则。
        • 如果该规则中设置生效的服务器已使用其他防御规则,在确认防御规则变更页面,单击确认确认防御规则变更
        • 如果该规则中设置生效的服务器未使用其他任何防御规则,该防御规则添加成功。
        安全告警设置页面查看已添加的防御规则,及其生效服务器数量。防御规则
        说明
        • 如果原防御规则的生效服务器使用了添加的新防御规则,原防御规则的生效服务器数量会相应减少。
        • 云安全中心支持编辑/删除已添加的暴力破解防御规则。
        • 可前往资产中心页面,修改单个资产使用的暴力破解防御规则,具体内容请参见查看单个资产详情
    • 自定义Web目录

      云安全中心会自动检测您服务器资产中的Web目录,并进行动态检测和静态扫描;您也可以手动添加服务器中的其它Web目录进行检测扫描。

      1. 单击Web目录定义右侧的添加Web目录定义
      2. 输入一个合法的Web路径,然后选择生效服务器,该路径所对应的Web目录会被添加到检测列表中。
        说明 出于性能效率考虑,不支持直接添加root目录作为Web目录。
        扫描路径的服务器
      3. 单击确定,完成添加。

相关文档

云安全中心如何对异常登录进行检测和告警?