云安全中心支持通过短信、邮件、站内信和钉钉机器人的方式向您发送通知。您可根据业务需要配置安全周报、基线检查、网页防篡改等告警通知。本文介绍如何配置云安全中心告警通知。
背景信息
默认情况下,告警信息接收人为您的账号联系人。您可以修改消息接收人,具体操作,请参见告警通知邮箱的接收人可以在哪里修改。
仅云安全中心企业版和旗舰版支持使用钉钉机器人的通知方式。免费版、防病毒版和高级版用户需要升级到企业版或旗舰版,才能使用钉钉机器人的通知方式。
支持通知的项目
| 项目 | 通知频率 | 通知发送时间 | 支持的通知方式 | 说明 |
|---|---|---|---|---|
| 安全周报 | 每七天发送一次 | 08:00~20:00 | 邮件 | 每七天向您发送一次主题为阿里云服务器待处理安全周报的通知。通知内容为您资产中未处理的漏洞数量、漏洞修复建议、基线风险数量和告警信息等。 |
| 基线检查 | 每七天发送一次 | 08:00~20:00 | 短信、邮件、站内信、钉钉机器人 | 每七天向您发送一次主题为云安全中心待处理基线配置风险周报的通知。通知内容为您资产中未处理的基线风险数量。 |
| 威胁分析日志超量提醒通知 | 实时发送 | 可选以下时段:
| 短信、邮件、站内信 | 按照您配置的通知时段,当已使用威胁分析日志容量超过总容量的80%时,为您发送威胁分析日志存储空间使用率通知。 |
| 安全告警 | 实时发送 | 可选以下时段:
| 短信、邮件、站内信、钉钉机器人 说明 免费版仅支持站内信方式。 | 检测到安全告警时发送通知。每天最多发送5条通知。同一服务器,每天最多发送1条通知。 |
| 精准防御 | 实时发送 | 可选以下时段:
| 短信、邮件、站内信 | 每天最多2条短信、5条站内信、20封邮件,支持您配置的精准防御的告警通知。 |
| AccessKey泄露情报 | 实时发送 | 可选以下时段:
| 短信、邮件、站内信、钉钉机器人 | 检测到AccessKey泄露时发送通知。每天最多发送5条通知。 |
| 云平台配置检查 | 每七天发送一次 | 08:00~20:00 | 短信、邮件、站内信 | 检测到云平台配置检查风险项时发送通知。每7天发送一次通知。 |
| 应急漏洞情报 | 实时发送 | 08:00~20:00 | 短信、邮件、站内信 | 检测到未修复的应急漏洞时发送通知。每天最多发送10条通知。 |
| 网页防篡改 | 实时发送 | 可选以下时段:
| 短信、邮件、站内信 | 检测到网页防篡改告警时发送通知。每天最多发送5条通知。 |
| 容器防火墙异常告警通知 | 实时发送 | 可选以下时段:
| 邮件 | 检测到未授权的网络行为时发送通知。每天最多发送100条通知。 |
| 容器防火墙主动防御通知 | 实时发送 | 可选以下时段:
| 邮件 | 检测到未授权的网络行为时主动拦截并发送通知。每天最多发送100条通知。 |
| 恶意IP拦截告警通知 | 实时发送 | 可选以下时段:
| 短信、邮件、站内信 | 针对恶意IP的爆破攻击进行拦截,拦截后将为您发送通知。每天最多发送10条通知。 |
| 病毒扫描通知 | 按照病毒防御的扫描周期发送 | 可选以下时段:
| 短信、邮件、站内信 | 按照您配置的病毒防御的扫描周期,在病毒扫描完成后通知扫描结果。 |
| 日志超量 | 每两天一次 | 可选以下时段:
| 短信、邮件、站内信 | 每两天一次,当您的日志存储量超过了购买的日志容量的90%时,为您发送日志超量通知。 |
| 云蜜罐告警 | 实时发送 | 可选以下时段:
| 短信、邮件、站内信、钉钉机器人 | 检测到云蜜罐告警时,发送通知。每天最多发送5条通知。 |
| 应用防护告警 | 实时发送 | 可选以下时段:
| 短信、邮件、站内信、钉钉机器人 | 检测到应用防护告警时,发送通知。通知方式为邮件和站内信时,每天最多发送10条通知;通知方式为短信时,每天最多发送5条通知。 |
配置短信、邮件、站内信通知
- 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
- 在左侧导航栏,选择。
- 在通知设置页面的短信/邮件/站内信页签,定位到您需要配置的通知,分别配置该通知的通知时间、我关注的等级和通知方式。说明
- 在该页面修改的设置会即时生效。
- 如果您选择了多种通知方式,云安全中心会在同一时间通过已选择的多种通知方式发送通知。
配置钉钉机器人通知
配置钉钉机器人通知后,可通过钉钉群实时接收云安全中心识别的威胁预警信息。
前提条件
已安装钉钉并创建接收通知的钉钉群。
操作步骤
- 在钉钉群中配置机器人。重要 本步骤介绍的操作需在钉钉客户端中完成,仅供您参考,具体操作请以钉钉客户端显示为准。
- 配置机器人。添加机器人时,将安全设置选择为自定义关键词,并将自定义关键词设置为云安全中心和Security。
- 复制Webhook地址,并单击完成。
- 配置机器人。
- 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
- 在左侧导航栏,选择。
- 在通知设置的钉钉机器人页签,单击添加新的机器人。
- 在添加钉钉机器人面板,完成配置项配置,并单击添加。
配置项 说明 配置方法 机器人名称 为钉钉机器人自定义名称。 手动输入机器人名称,建议输入便于识别的名称。 Webhook 地址 机器人的接入地址。 在要应用该钉钉机器人的钉钉群中,找到机器人的Webhook链接,拷贝到Webhook 地址文本框中。 重要 请保管好此Webhook地址,不要公布在外部网站上,泄露后可能会产生安全风险。资产分组 您可以选择在云安全中心资产中心中创建的资产分组。选中后,钉钉机器人将会发送该资产分组中资产相关的告警通知。 在下拉列表中选择钉钉机器人通知涉及的资产分组。 通知范围 需要钉钉机器人通知的项目范围。钉钉机器人支持选择以下通知项目: - 漏洞
- 基线检查
- 安全告警
- AK泄漏检测
- 云蜜罐
- 应用防护
在下拉列表中选择需要钉钉机器人通知的告警类型和风险等级。 通知频率 钉钉机器人发送通知的间隔周期,可选1分钟、5分钟、10分钟、30分钟或无限制(每检测到一条告警实时发送通知)。 说明 选择无限制后,一个Webhook,一分钟最多可发送20条通知。在下拉列表中选择您所需的通知间隔周期。 通知语言 钉钉机器人发送通知的语言类型,可选中文或英文。 在下拉列表中选择钉钉机器人的通知语言。 新创建的钉钉机器人通知默认为启用状态。说明- 添加机器人通知后,可单击操作栏的测试,验证钉钉机器人通知是否已经和钉钉群连通。
- 钉钉机器人通知支持编辑和删除。删除通知后,您将无法收到相关告警的钉钉机器人通知,但不影响您已设置的短信、邮件或站内信通知。
配置完成后,云安全中心将按照您配置的通知策略为您发送相关通知。