主动防御 - 云安全中心

云安全中心的主动防御能力为您自动拦截常见病毒、恶意网络连接和网站后门连接，并设置诱饵捕获勒索病毒。本文介绍如何设置主动防御支持的功能。

功能介绍

云安全中心的主动防御能力为您自动拦截常见病毒、恶意网络连接和网站后门连接，并设置诱饵捕获勒索病毒。以下表格是各功能的详细介绍。


功能	支持的版本	描述
防病毒	防病毒版、高级版、企业版、旗舰版	防病毒能够帮助您自动隔离并查杀常见网络病毒，包括主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等。所有支持自动隔离的病毒都经过了阿里云安全专家的测试和验证，确保零误杀。说明您购买云安全中心防病毒版及以上版本后，云安全中心默认为您开启防病毒功能，并将您的所有服务器添加到防病毒的检测范围内。
防勒索（诱饵捕获）	高级版、企业版、旗舰版	防勒索（诱饵捕获）提供了捕捉新型勒索病毒的诱饵，并通过病毒行为分析，为您自动启动新型勒索病毒的防御。云安全中心在您服务器中设置的勒索捕获诱饵文件仅用于捕获新型勒索病毒，不会对您的业务产生任何影响，请您放心使用该功能。您可以在安全告警处理页面，将告警类型设置为精准防御，以便查看云安全中心为您隔离的防勒索病毒。说明开启防勒索（诱饵捕获）开关前，您需要先购买并开通防勒索服务。更多信息请参见防勒索开通服务。
网站后门连接防御	企业版、旗舰版	开启该功能后，云安全中心会自动拦截黑客通过已知网站后门进行的异常连接行为，并隔离相关文件。您可以在安全告警处理页面查看相应告警和被隔离的文件。更多信息，请参见查看和处理告警事件和文件隔离箱。说明您购买了企业版或旗舰版后，云安全中心默认为您开启网站后门连接防御功能，并将您的所有服务器添加到网站后门连接防御的检测范围内。
恶意网络行为防御	企业版、旗舰版	开启该功能后，云安全中心将拦截您的服务器和已披露的恶意访问源的之间的网络行为，为您的服务器增强安全防护。
主动防御体验优化	所有版本	开启该功能后，如果服务器异常关机或安全防御能力缺失时，云安全中心将采集服务器kdump数据进行安全防护分析，不断提升云安全中心的安全防御能力。

说明

如果您开启了防病毒、防勒索（诱饵捕获）、网站后门连接防御或恶意网络行为防御中的任意功能，云安全中心会为您自动开启病毒云查杀，同时云安全中心将为新购服务器默认开启该功能和病毒云查杀。病毒云查杀可以帮您自动隔离常见网络病毒。病毒云查杀的更多信息，请参见病毒云查杀。
如果您主动防御区域的所有功能都为关闭状态，云安全中心将以安全告警的形式向您展示在您服务器上检测出的病毒，您需要在控制台手动处理病毒相关告警。建议您开启主动防御区域所有的功能，加固服务器安全防线。如何处理告警，请参见查看和处理告警事件。

操作步骤

登录云安全中心控制台。
在左侧导航栏，单击设置。
在主动防御区域，开启防病毒、防勒索（诱饵捕获）、网站后门连接防御或恶意网络行为防御的开关。
开启防病毒、防勒索（诱饵捕获）、网站后门连接防御和恶意网络行为防御开关后，云安全中心将从防病毒、防勒索、防网站后门异常连接和防恶意源访问等多方位为您的服务器提供安全防护。建议您打开这四个开关。
单击防病毒、防勒索（诱饵捕获）、网站后门连接防御或恶意网络行为防御右侧的管理，管理防病毒、防勒索（诱饵捕获）或网站后门连接防御的检测范围。
在主动防御-防病毒、主动防御-防勒索（诱饵捕获）、主动防御-网站后门连接防御或恶意网络行为防御对话框中设置需要检测的服务器。
从左侧未检测服务器列表中选择要开启检测的服务器，单击图标，将其移入右侧已检测服务器列表中，为该服务器开启检测；将服务器从右侧框移入左侧框，为该服务器关闭检测功能。

注意防勒索（诱饵捕获）只支持为Windows系统的服务器提供新型勒索病毒诱捕服务。您的服务器操作系统必须是Windows 2003及以上版本才能添加到防勒索（诱饵捕获）的检测范围中。
单击确定。
开启防病毒、防勒索（诱饵捕获）、网站后门连接防御和恶意网络行为防御服务后，云安全中心将自动隔离检测出的主流病毒类型或异常连接。
在安全告警处理页面精准防御类型告警列表中，查看被主动防御功能自动隔离的病毒。
您需要将搜索条件置为已处理，并且告警类型选择精准防御。
说明主动防御功能的防病毒、防勒索（诱饵捕获）和网站后门连接防御功能开通后，可能会存在部分程序误报或未隔离成功的情况。
- 部分误报导致文件被隔离时，您可以从文件隔离箱中恢复被误隔离的文件。具体内容请参见文件隔离箱。
- 未隔离成功的事件可以在安全告警处理页面手动隔离。具体内容请参见查看和处理告警事件。
可选：选中主动防御体验优化复选框。
选中主动防御体验优化有助于云安全中心获取服务器异常情况下安全防护数据，为您提升安全防护能力。建议您选中该项。