云安全中心的安全告警设置支持手动维护常用登录地和Web目录,并支持高级登录告警功能和防暴力破解功能。

背景信息

  • 云安全中心基础杀毒版高级版企业版提供高级登录告警功能,支持配置更精细的异常登录检测,例如设置常用登录的IP、时间、账号。
  • 云安全中心支持自定义防暴力破解规则,配置更精准的防御规则阻止异常登录的访问,从而保护资产的安全。

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击威胁检测 > 安全告警处理
  3. 单击页面右上角安全告警设置
  4. 安全告警设置页面,您可以执行以下操作。
    • 管理常用登录地

      以下是添加常用登录地的操作步骤:

      1. 单击常用登录地右侧的管理按钮。
      2. 选择要添加的常用登录地点,然后选择添加应用的服务器。

        常用登录地点支持选择全球区域,您可以根据需要选择任一区域。

      3. 单击确定,完成添加。

      云安全中心支持编辑删除已成功添加的常用登录地。

      • 单击目标常用登录地右侧的编辑,修改该登录地的生效服务器。
      • 单击目标常用登录地右侧的删除,删除该常用登录地配置。
    • 配置常用登录IP、常用登录时间和常用账号
      说明 通过配置常用登录IP、常用登录时间和常用账号,可指定常用的登录IP、登录时间和登录账号。配置完成后,云安全中心会对非指定的登录情形进行告警。以下功能的操作和 常用登录地类似,进行 添加编辑删除的操作步骤请参见 管理常用登录地
      • 单击常用登录IP右侧的非常用登录IP报警开关,开启或关闭登录IP检查。开启后通过非指定IP登录会触发告警。您可以在安全告警处理页面查看相关告警。
      • 单击常用登录时间右侧的非常用登录时间报警开关,开启或关闭登录时间检查。开启后在非常用时间登录会触发告警。您可以在安全告警处理页面查看相关告警。
      • 单击常用账号右侧的非常用账号登录报警开关,开启或关闭登录账号检查。开启后使用非常用账号登录会触发报警。您可以在安全告警处理页面查看相关告警。
    • 配置防暴力破解规则

      云安全中心提供防暴力破解功能,支持配置自定义暴力破解防御规则。

      1. (可选)进行授权操作。
        说明 首次配置暴力破解防御规则需要操作授权,如果已经添加过暴力破解防御规则,您可以跳过该步骤。
        1. 将鼠标移动至防暴力破解右侧的管理,单击去授权
        2. 单击同意授权

        完成操作授权后,请返回安全告警设置 > 防暴力破解页签,添加暴力破解防御规则。

      2. 单击防暴力破解右侧的管理
      3. 添加防御规则页面,配置防御规则。添加防御规则

        云安全中心为您提供了默认防御规则:防暴力破解攻击阿里云最佳实践,该防御规则具体为10分钟内登录失败次数超过80次,禁止登录6小时。您可以选择对应服务器,直接使用该默认防御规则。您也可以参考以下表格中的配置说明自定义防御规则。

        参数 说明
        防御规则名称 可自定义规则名称。
        防御规则 设置某个时间范围(支持选择1分钟、2分钟、5分钟、10分钟、15分钟)内登录失败次数超过限定次数(支持选择2次、3次、4次、5次、10次、50次、80次、100次),禁止登录时长(支持选择5分钟、15分钟、30分钟、1小时、2小时、6小时、12小时、24小时、7天、永久)

        例如:1分钟内登录失败次数超过3次,禁止登录30分钟

        请选择对应的服务器 设置防御规则生效的服务器。支持直接选择云安全中心防护的服务器,或根据服务器名称和IP筛选指定服务器。
        设置为默认策略 设置该防御规则是否为默认策略。设置为默认策略后,其他未添加防御规则的服务器将默认应用该规则。
        说明 选中 设置为默认策略后,无论您是否在 请选择对应的服务器中选择了服务器,当前策略都会对所有未添加防御规则的服务器生效。
      4. 单击确定
        说明 每台服务器仅支持配置一个防御规则。
        • 如果该规则中设置生效的服务器已配置了其他防御规则,在确认防御规则变更页面,单击确认确认防御规则变更
        • 如果该规则中设置生效的服务器未配置其他任何防御规则,该防御规则添加成功。
        安全告警设置页面查看已添加的防御规则,及其生效服务器数量。
        说明
        • 如果原防御规则的生效服务器配置了新防御规则,原防御规则的生效服务器数量会相应减少。
        • 云安全中心支持编辑删除已添加的暴力破解防御规则。
        • 可前往资产中心页面,修改单个资产已配置的暴力破解防御规则,具体内容请参见查看单个资产详情
      5. IP规则策略库页面查看云安全中心为您自动生成的IP拦截策略。

        您在安全告警设置 > 防暴力破解页面添加了防御规则后,该规则触发了IP拦截,就会自动生成IP拦截策略。以下步骤介绍如何查看IP拦截策略。

        1. 安全告警处理页面,单击生效IP拦截策略/全部策略下的数字。

          单击生效IP拦截策略下的数字可跳转到已启用的系统内置IP拦截规则页面。单击全部策略下的数字可跳转到全部状态(包括已启用和已禁用)的系统内置IP拦截规则页面。

        2. IP规则策略库系统规则页签下,查看云安全中心自动生成的IP拦截策略。IP拦截策略系统规则

          IP拦截策略的更多信息请参见设置IP拦截策略

    • 自定义Web目录

      云安全中心会自动检测您服务器资产中的Web目录,并进行动态检测和静态扫描;您也可以手动添加服务器中的其它Web目录进行检测扫描。

      1. 单击Web目录定义右侧的管理
      2. 输入常用的Web路径,然后选择生效服务器,该路径所对应的Web目录会被添加到检测列表中。
        说明 出于性能效率考虑,不支持直接添加root目录作为Web目录。
        扫描路径的服务器
      3. 单击确定,完成添加。

相关文档

云安全中心检测和告警异常登录功能的原理