配置安全告警的短信邮件及钉钉机器人通知-云安全中心-阿里云

通过通知设置功能，可为安全告警、漏洞情报、基线风险等各类安全事件配置告警策略。支持通过短信、邮件、站内信或钉钉机器人等多种方式接收通知，帮助实现对安全风险的及时响应。

管理通知接收人

配置告警项前，需先指定接收通知的安全联系人。默认消息接收人为账号联系人（即注册账号时填写的联系人），更多内容可参见设置安全消息接收人的最佳实践。

进入阿里云消息中心。在安全消息页签定位到云盾安全信息通知，在单击操作列修改，进入修改消息接收配置页面。
在消息接收人页签，管理通知接收人。
- 选择已有联系人：在弹出的对话框中，直接勾选希望接收通知的联系人。
- 添加新联系人：单击消息接收人管理，跳转至账号中心，在地址和联系人页面，单击新增联系人，填写姓名、手机和邮箱后保存。
  说明
  新添加的手机或邮箱必须完成验证才能接收告警。请及时查收系统发送的验证短信或邮件，并按提示完成操作，更多内容请参见基本消息接收管理、新增地址和联系人。
- 修改联系人：单击消息接收人管理，跳转至账号中心，在地址和联系人页面，填写姓名、手机和邮箱后保存。
完成选择后，点击保存，配置将立即生效。

配置通知

配置短信、邮件、站内信通知

云安全中心提供短信、邮件、站内信三种通知渠道。可针对不同通知项进行灵活配置，相关设置立即生效。

登录云安全中心控制台。
在左侧导航栏，选择系统设置 > 通知设置。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
在短信/邮件/站内信页签，定位至待配置的通知项目。参考如下说明配置通知时间、我关注的等级和通知方式。
- 通知时间：
  - 24小时：全天候实时发送。建议为高危紧急事件选择此项。
  - 08:00~20:00：仅在指定时间段内发送。
  重要
  - 在非选中的通知时间外触发通知事件时，部分通知项目会延迟发送通知，请以实际收到为准。
  - 发送频率为系统配置，不支持修改，详情请参见配额与限制。
- 我关注的等级：根据事件的严重性进行筛选，例如仅关注严重和高危等级的告警。
- 通知方式：可多选短信、邮件、站内信。
  重要
  - 部分告警项目仅支持特定的通知方式，请以控制台为准。
  - 同时选择多种通知方式时，系统会将同一条通知信息同时发送到所有勾选的渠道。

配置钉钉机器人通知

配置钉钉机器人通知后，可通过钉钉群实时接收云安全中心识别的威胁预警信息。

适用范围

包年包月服务：企业版或旗舰版（若当前版本不支持，请进行升级）。
按量付费服务：已开通任一按量付费功能（若未开通，请前往购买）。

操作步骤

获取Webhook地址
- 未创建机器人
  说明
  更多信息，请参见创建自定义机器人。
  1. 在钉钉客户端中，选择目标群聊，单击右上角群设置按钮。
  2. 单击群管理中的机器人，在机器人管理页面单击添加机器人并选择自定义。
  3. 在安全设置区域设置自定义关键词：云安全中心或Security，并勾选《自定义机器人服务及免责条款》。
  4. 单击完成。添加完成后会展示Webhook地址。
- 已创建机器人
  说明
  更多信息，请参见获取自定义机器人Webhook地址。
  1. 在钉钉客户端中，选择目标群聊，单击右上角群设置按钮。
  2. 单击群管理中的机器人，在机器人管理页面单击目标机器人，在详情页即可获取Webhook地址。

在云安全中心添加机器人

登录云安全中心控制台。
在左侧导航栏，选择系统设置 > 通知设置。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。

在通知设置的钉钉机器人页签，单击添加新的机器人。在添加钉钉机器人面板，完成配置，并单击添加。重要配置项说明如下：

说明

新创建的钉钉机器人通知默认为启用状态。

配置项	说明
Webhook 地址	复制粘贴步骤1中获取的Webhook地址。重要请保管好Webhook地址，不要公布在外部网站上。Webhook地址泄露可能会产生安全风险。
资产分组	选择在云安全中心资产中心中创建的资产分组。选中后，钉钉机器人将会发送该资产分组中资产相关的告警通知。如何配置资产，请参见管理服务器的分组。
通知范围	选择需要钉钉机器人通知的告警类型和风险等级。说明通知项的等级和类型以或的方式生效，即满足任意一条件即可触发通知。机器人通知的仅支持如下类型：漏洞、基线检查、安全告警、AK泄露检测、云蜜罐、应用防护、防勒索、核心文件监控、恶意文件检测。
通知频率	钉钉机器人发送通知的间隔周期。重要若选择无限制后，一个Webhook，每分钟最多可发送20条通知。
通知语言	钉钉机器人发送通知的语言类型，可选中文或英文。

测试通知（可选）
在钉钉机器人列表，找到新创建的钉钉机器人，在操作列单击测试，验证钉钉机器人通知是否已经和钉钉群连通。
说明
钉钉机器人通知支持编辑和删除。删除通知后，您将无法收到相关告警的钉钉机器人通知，但不影响您已设置的短信、邮件或站内信通知。

关闭通知

关闭短信、邮件、站内信通知

登录云安全中心控制台。
在左侧导航栏，选择系统设置 > 通知设置。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
在短信/邮件/站内信页签，定位至目标通知项，在通知方式列取消勾选不希望接收通知的渠道。

关闭钉钉机器人

登录云安全中心控制台。
在左侧导航栏，选择系统设置 > 通知设置。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。

在钉钉机器人页签，定位至目标机器人，参考下表进行操作：

目标	操作方法	注意事项
暂时停用（临时关闭所有通知）	关闭启用状态列的开关。	配置会被保留，可随时重新开启。
永久删除（不再使用此机器人）	单击操作列的删除。	操作不可逆！需要重新配置才能再次使用。
筛选通知（只接收部分告警）	1. 单击操作列的编辑。 2. 在通知范围中删除不希望接收的告警类型/等级。	可以灵活控制通知的精细度，避免信息过载。

配额与限制

通知频率和限流规则

为避免过多通知造成干扰，云安全中心对各类通知的发送频率和数量设置了限制。各通知项详细限制如下：

防御实时告警

通知项目	发送频率/触发条件	每日限流规则（短信/邮件/站内信）
AccessKey泄露情报	实时发送	每天最多发送5条通知。
精准防御		每天最多发送2条短信、5条站内信、20封邮件。
网页防篡改		每天最多发送5条通知。
云蜜罐告警		每天最多发送5条通知。
应用防护告警		每天最多发送5条短信、10封邮件、10封站内信。
恶意IP拦截告警通知		每天最多发送10条通知。

检测实时告警

通知项目	发送频率/触发条件	每日限流规则（短信/邮件/站内信）
安全告警	实时发送	每个阿里云账号24小时内最多发送5条。同一台服务器24小时内最多发送1条。
新增安全事件		同一个事件每天只通知1次（包括新增和更新）。新增和更新累计每天不超过5条。
更新安全事件		同一个事件每天只通知1次（包括新增和更新）。新增和更新累计每天不超过5条。
应急漏洞情报		每天最多发送10条通知。

容器安全告警

通知项目	发送频率/触发条件	每日限流规则（短信/邮件/站内信）
容器微隔离异常告警通知	实时发送	每天最多发送100条邮件（超出部分将延期发送）。
容器微隔离主动防御通知		每天最多发送100条邮件（超出部分将延期发送）。
镜像安全扫描恶意告警通知		每天最多发送1条短信、24封邮件、24封站内信。
镜像安全扫描基线风险通知		每天最多发送1条通知。
镜像安全扫描漏洞风险通知		每天最多发送1条短信、24封邮件、1封站内信。
镜像安全扫描敏感文件告警通知		每天最多发送1条短信、24封邮件、24封站内信。

无代理检测告警

通知项目	发送频率/触发条件	每日限流规则（短信/邮件/站内信）
无代理检测恶意样本通知	扫描任务结束后发送。	每天最多发送1条短信、1封邮件、1封站内信。
无代理检测漏洞风险通知
无代理检测基线风险通知
无代理检测敏感文件告警通知

周期性/阈值触发通知

通知项目	发送频率/触发条件	每日限流规则（短信/邮件/站内信）
安全周报	每7天一次。	无
基线检查
云安全态势管理
防勒索任务执行结果	任务完成后发送。
防勒索空间超量	防勒索容量超过购买总容量，使用率达100%时，立即通知。每7天检查一次，如果已使用的防勒索容量超过设置的阈值，发送通知。
威胁分析热数据日志超量提醒通知	实时发送。
威胁分析接入日志流量超量提醒通知	实时发送。
日志超量	每2天一次。
病毒扫描通知	按照病毒查杀扫描周期发送。

钉钉机器人频率和限流规则

通知频率：可设置为1分钟、5分钟、10分钟、30分钟或无限制。
无限制频率下的限流：选择无限制时，单个Webhook地址每分钟最多接收20条通知。

常见问题

联系人与接收人管理

如何修改接收告警通知的联系人（邮箱/手机）？
可在账号中心中修改，具体步骤请参考管理通知接收人。
为什么修改/添加联系人后，告警依然发给旧联系人或新联系人收不到？
请按以下步骤排查：
1. 确认修改位置：确保正确修改或添加了联系人，并完成了手机或邮箱的验证。具体步骤请参考管理通知接收人。
2. 检查其他产品配置：检查是否有其他云产品（如云监控）的独立告警规则中仍配置了旧的联系人。
如何按岗位角色（如运维、开发）批量配置告警接收人？
暂不支持按角色批量配置，但可通过新增或修改时设置“职位”标签统一识别联系人。

告警接收问题排查

配置告警通知后，为什么收不到？
可按以下步骤排查：
1. 检查接收人：确认手机号或邮箱已在消息接收人管理中添加并完成验证。
2. 检查通知配置：确认相关通知项目已开启，且我关注的等级与告警等级匹配，通知时间设置为24小时。
3. 检查垃圾箱：检查邮件的垃圾箱或短信的拦截记录。
4. 检查限流：对照配额与限制章节，确认是否已达到当天的发送上限。
5. 检查区域：确保配置通知的区域中国或全球（不含中国）与产生告警的资产所在区域一致。
为什么关闭了“异常登录”告警项，钉钉机器人还是收到了通知？
原因：设置了安全告警的通知等级为可疑，而告警通知的触发规则是 “类型”或“等级”，满足任意一个条件就会发送。
解决方案：进入通知设置，在安全告警通知等级分类中，取消勾选可疑。

附录：通知内容说明

定期报告

通知项目	说明
安全周报	发送主题为阿里云云安全中心周报的通知。通知内容为资产中未处理的漏洞数量、漏洞修复建议、基线风险数量和告警信息等。说明如果您的账号下没有ECS实例，或ECS实例已停止运行或已被释放，系统将不会发送安全周报。
基线检查	发送主题为云安全中心待处理基线配置风险周报的通知。通知内容为资产中未处理的基线风险数量。

资源与容量

通知项目	说明
防勒索空间超量	防勒索空间超量通知机制如下：已使用防勒索容量超过购买总容量，使用阈值达到100%时，实时发送通知。云安全中心系统每日会定时检查防勒索容量使用情况，如果已使用的防勒索容量超过设置的阈值，发送通知。您可以在防勒索空间超量区域单击图标，调整发送通知的容量使用阈值。
威胁分析热数据日志超量提醒通知	威胁分析日志存储空间使用率通知。
威胁分析接入日志流量超量提醒通知	当“接入日志流量”超过"订阅接入日志流量”的80%时，发送扩容提醒通知。
日志超量	当日志存储量超过了购买的日志分析容量占比阈值时，发送日志超量通知。在日志超量区域，单击图标，可调整发送通知的日志容量阈值。

功能模块告警

通知项目	说明
防勒索任务执行结果通知	在配置的通知时段，当防勒索的数据备份任务或备份数据恢复任务执行完成后，再匹配您关注的执行结果（执行成功或执行失败），发送通知。
新增安全事件	发现了新增安全事件待处理时发送通知。
更新安全事件	安全事件状态为“待处理”且有新增关联安全告警时，便发送通知。
安全告警	检测到安全告警时发送通知。
精准防御	检测到精准防御告警时发送通知。
AccessKey泄露情报	检测到当前阿里云账号及其RAM用户的AccessKey泄露并且泄露的SK信息有效时发送通知。
云安全态势管理	检测到云安全态势管理的风险项时发送通知。
应急漏洞情报	近期有大范围爆发的应急漏洞情报并且云安全中心支持检测时发送通知。说明如果需要接收资产中存在漏洞的通知，可以创建钉钉机器人，或使用云安全中心安全报告功能。具体操作，请参见配置钉钉机器人通知和安全报告。
网页防篡改	检测到网页防篡改告警时发送通知。
恶意IP拦截告警通知	针对恶意IP的爆破攻击进行拦截，拦截后将为您发送通知。
病毒扫描通知	按照您配置的病毒查杀的扫描周期，在病毒扫描完成后通知扫描结果。
云蜜罐告警	检测到云蜜罐告警时，发送通知。每天最多发送5条通知。
应用防护告警	检测到应用防护告警时，发送通知。

容器安全

通知项目	说明
容器微隔离异常告警通知	检测到未授权的网络行为时发送通知。
容器微隔离主动防御通知	检测到未授权的网络行为时主动拦截并发送通知。
镜像安全扫描恶意告警通知	镜像安全扫描完成后，针对产生的恶意样本告警发送通知。
镜像安全扫描基线风险通知	镜像安全扫描完成后，针对产生的风险基线告警发送通知。
镜像安全扫描漏洞风险通知	镜像安全扫描完成后，针对产生的漏洞风险告警发送通知。
镜像安全扫描敏感文件告警通知	镜像安全扫描完成后，针对产生的敏感文件告警发送通知。

无代理检测

通知项目	说明
无代理检测恶意样本通知	安全扫描完成后，对产生的恶意样本发送告警通知。
无代理检测漏洞风险通知	安全扫描完成后，对产生的漏洞风险发送告警通知。
无代理检测基线风险通知	安全扫描完成后，对产生的风险基线发送告警通知。
无代理检测敏感文件告警通知	安全扫描完成后，对产生的敏感文件发送告警通知。