云安全中心的设置功能提供自定义配置主动防御能力开关、网站后门查杀、容器K8s威胁检测、安全管控、访问控制、防护模式管理和客户端自保护的服务。

主动防御

云安全中心的主动防御能力为您自动拦截常见病毒、恶意网络连接和网站后门连接,并设置诱饵捕获勒索病毒。各功能的详细介绍如下:
  • 防病毒:防病毒能够帮助您自动隔离并查杀常见网络病毒,包括主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等。所有支持自动隔离的病毒都经过了阿里云安全专家的测试和验证,确保零误杀。
  • 防勒索(诱饵捕获):防勒索(诱饵捕获)提供了捕捉新型勒索病毒的诱饵,并通过病毒行为分析,为您自动启动新型勒索病毒的防御。云安全中心在您服务器中设置的勒索捕获诱饵文件仅用于捕获新型勒索病毒,不会对您的业务产生任何影响,请您放心使用该功能。您可以在安全告警处理页面,将告警类型设置为精准防御,以便查看云安全中心为您隔离的防勒索病毒。
  • 网站后门连接防御:开启该功能后,云安全中心会自动拦截黑客通过已知网站后门进行的异常连接行为,并隔离相关文件。您可以在安全告警处理页面查看相应告警和被隔离的文件。更多信息请参见查看和处理告警事件文件隔离箱
  • 恶意网络行为防御:开启该功能后,云安全中心将拦截您的服务器和已披露的恶意访问源的之间的网络行为,为您的服务器增强安全防护。

如果您开启了防病毒防勒索(诱饵捕获)网站后门连接防御恶意网络行为防御中的任意功能,云安全中心会为您自动开启病毒云查杀。病毒云查杀可以帮您自动隔离常见网络病毒。病毒云查杀的更多信息请参见病毒云查杀

如果您主动防御区域的所有功能都为关闭状态,云安全中心将以安全告警的形式向您展示在您服务器上检测出的病毒,您需要在控制台手动处理病毒相关告警。建议您开启主动防御区域所有的功能,加固服务器安全防线。

说明
  • 您开启主动防御区域的任意功能后,云安全中心将为新购的服务器默认开启该功能和病毒云查杀。
  • 您购买了云安全中心基础杀毒版或高级版后,云安全中心将为您默认开启防病毒功能,并将您的所有服务器添加到防病毒的检测范围内。您购买了企业版后,云安全中心将为您默认开启防病毒网站后门连接防御恶意网络行为防御,并将您的所有服务器添加到防病毒、网站后门连接防御和恶意网络行为防御的检测范围内。
  • 开启防勒索(诱饵捕获)开关前,您需要先购买并开通防勒索服务。更多信息请参见防勒索开通服务
操作步骤
  1. 登录阿里云云安全中心控制台
  2. 在左侧导航栏单击设置
  3. 设置页签的主动防御区域,开启防病毒防勒索(诱饵捕获)网站后门连接防御恶意网络行为防御的开关。

    开启防病毒防勒索(诱饵捕获)网站后门连接防御恶意网络行为防御开关后,云安全中心将从防病毒、防勒索、防网站后门异常连接和防恶意源访问等多方位为您的服务器提供安全防护。建议您打开这四个开关。

    设置主动防御
  4. 单击防病毒防勒索(诱饵捕获)网站后门连接防御恶意网络行为防御右侧的管理,管理防病毒、防勒索(诱饵捕获)或网站后门连接防御的检测范围。
  5. 主动防御-防病毒主动防御-防勒索(诱饵捕获)主动防御-网站后门连接防御恶意网络行为防御对话框中设置需要检测的服务器。

    从左侧未检测服务器列表中选择要开启检测的服务器,单击右向箭头图标,将其移入右侧已检测服务器列表中,为该服务器开启检测;将服务器从右侧框移入左侧框,为该服务器关闭检测功能。

    注意 防勒索(诱饵捕获)只支持为Windows系统的服务器提供新型勒索病毒诱捕服务。您的服务器操作系统必须是Windows 2003及以上版本才能添加到防勒索(诱饵捕获)的检测范围中。
  6. 单击确定
  7. 开启防病毒、防勒索(诱饵捕获)和网站后门连接防御服务后,云安全中心将对检测出的主流病毒类型或异常连接进行自动隔离,您可在安全告警处理页面精准防御类型告警列表中,查看被主动防御功能自动隔离掉的病毒。精准防御
    说明 主动防御功能的防病毒、防勒索(诱饵捕获)和网站后门连接防御功能开通后,可能会存在部分程序误报或未隔离成功的情况。
    • 部分误报导致文件被隔离时,您可以从文件隔离箱中恢复被误隔离的文件。具体内容请参见文件隔离箱
    • 未隔离成功的事件可以在安全告警处理页面手动隔离。具体内容请参见查看和处理告警事件

网站后门查杀

网站后门查杀功能会定期检测网站服务器、网页目录中的网站后门及木马程序。

只有为服务器开启网站后门查杀后,云安全中心安全告警才会触发网站后门检测,并向您展示相关告警记录。关于安全告警的详细介绍,请参见安全告警类型

操作步骤
  1. 登录阿里云云安全中心控制台
  2. 在左侧导航栏单击设置
  3. 设置页签的网站后门查杀区域,单击管理网站后门查杀
  4. 设置需要开启网站后门查杀的服务器。

    从左侧未检测服务器列表中选择要开启网站后门查杀的服务器,单击右向箭头,将其移入右侧已检测服务器列表中,为该服务器开启网站后门查杀功能;将服务器从右侧框移入左侧框,为该服务器关闭网站后门查杀功能。

  5. 单击确定

容器K8s威胁检测

云安全中心企业版支持容器K8s威胁检测能力,实时为您检测正在运行的容器集群安全状态,帮助您及时发现容器集群中的安全隐患和黑客入侵行为。关于容器K8s威胁检测的检测项,请参见容器威胁检测项
说明 云安全中心企业版容器K8s威胁检测功能无需设置,基础版、基础杀毒版、高级版用户需要先升级至企业版,才能使用容器K8s威胁检测功能。

云安全中心为您提供容器K8s集群威胁检测的能力。建议您打开威胁检测开关。打开威胁检测开关后,云安全中心将为您检测K8s容器集群中的安全风险。您可以在安全告警页面查看并处理相关告警。更多信息请参见查看和处理告警事件

容器威胁检测
云安全中心企业版通过检测容器K8s威胁检测项,为您实时检测正在运行的容器安全状态。容器K8s威胁检测项详见下表。
类型 检测项
容器集群异常 K8s API Server执行异常指令
Pod异常目录挂载
K8s Service Account横向移动
恶意镜像Pod启动
异常网络连接 反弹Shell网络外连
可疑网络外连
疑似内网横向移动
恶意进程(云查杀) DDoS木马
可疑矿机通信
可疑程序
可疑端口爆破扫描工具
可疑黑客程序
后门程序
恶意漏洞扫描工具
恶意程序
挖矿程序
木马程序
自变异木马
蠕虫病毒
网站后门 Webshell
进程异常行为 Apache-CouchDB执行异常指令
FTP应用执行异常指令
Hadoop执行异常指令
Java应用执行异常指令
Jenkins执行异常指令
Linux异常账号创建
Linux计划任务执行异常指令
MySQL执行异常指令
Oracle执行异常指令
PostgreSQL应用执行异常指令
Python应用执行异常指令
SSH远程非交互式一句话异常指令执行
Webshell执行可疑探测指令
Windows-3389-RDP配置被修改
Windows异常下载指令
Windows异常帐号创建
crontab计划任务被写入恶意代码
Linux可疑命令序列
Linux可疑命令执行
动态植入可疑脚本文件
反弹Shell
反弹Shell命令
可疑HTTP隧道信息泄露
可疑SSH Tunnel端口转发隧道
可疑Webshell写入行为
可疑特权容器启动
可疑端口监听异常进程
启动恶意容器
存在风险的Docker远程调试接口
异常操作指令
容器内部提权或逃逸
启动恶意容器

安全管控

安全管控功能支持IP地址白名单配置,可对加入到白名单中的IP地址进行放行,避免拦截正常的流量。

如果云安全中心将正常访问的IP地址识别为风险IP并对其进行拦截,导致部分业务受影响,可通过安全管控功能设置IP白名单,放行因误判被拦截的IP地址。云安全中心不会对添加至IP白名单的IP地址进行告警或拦截。

说明 将某个IP地址加入IP白名单后,该IP地址在访问您的(部分或所有)服务器时将不受任何限制。请谨慎添加IP白名单。
操作步骤
  1. 登录阿里云云安全中心控制台
  2. 在左侧导航栏单击设置
  3. 设置页签的安全管控区域,单击配置,跳转至安全管控控制台。安全管控配置
  4. 白名单管理 > IP白名单页面,配置IP白名单。具体内容请参见访问白名单

访问控制

使用访问控制(RAM),您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源的场景时,RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业的信息安全风险。

如果云安全中心检测到账号相关告警或异常事件,您可通过RAM排查并管理您账号下的用户及权限策略,加固您资产的信息安全。

操作步骤
  1. 登录阿里云云安全中心控制台
  2. 在左侧导航栏单击设置
  3. 设置页签的访问控制区域,您可进行以下操作。
    • 单击权限策略管理后的管理,跳转至RAM控制台,管理您当前账号下所有权限策略,具体内容请参见权限策略管理
    • 单击用户管理后的管理,跳转至RAM控制台,管理您账号下已创建的用户,具体内容请参见用户管理
    • 单击角色管理后的管理,跳转至RAM控制台,管理您账号下已创建的RAM角色,具体内容请参见角色管理
    访问控制

防护模式管理

要使用云安全中心,您必须在服务器上安装Agent插件。关于Agent插件的说明,请参见Agent说明;关于如何安装Agent插件,请参见安装Agent

Agent插件在服务器上运行时,会占用少量服务器资源。您可以调整Agent的运行模式,限制其资源占用量。以下表格描述了Agent支持的运行模式。
防护模式 最高内存或CPU占用 支持的版本 应用场景
基础防护模式
  • 内存占用:最高200 MB
  • CPU占用:单核最高10%
 基础版、基础杀毒版、高级版、企业版 基础防护模式适用于所有业务场景,极低的资源消耗对业务零影响。
说明 新购买的ECS默认开启基础防护模式。
高级防护模式
  • 内存占用:最高300 MB
  • CPU占用:单核最高30%
 基础杀毒版、高级版、企业版 高级防护模式适用于关键业务的安全防护场景。该模式开启大数据分析引擎、机器学习、深度学习引擎,可以挖掘更多可疑的入侵行为和潜在的威胁。
重保护模式
  • 内存占用:最高500 MB
  • CPU占用:整体最高60%
 企业版 重保护模式适用于重大活动的安全保障。该模式开启所有安全防护规则和安全引擎,通过智能化的规则提升告警检测引擎的敏感度,对任何可疑的入侵行为和潜在的威胁都会进行告警。
说明 选择任一防护模式时,当Agent占用资源超过限制峰值(具体峰值请参见以上表格最高内存或CPU占用列)时,Agent将会暂停工作,直至CPU使用率或内存占用下降到合理范围内,Agent会自动重启。

操作步骤

  1. 登录阿里云云安全中心控制台
  2. 在左侧导航栏单击设置
  3. 设置页签的防护模式管理区域,单击高级防护模式重保护模式区域的管理防护模式管理
  4. 高级防护模式重保护模式页面,选中需要配置高级防护模式重保护模式的服务器。为服务器设置防护模式
    说明 每台服务器Agent的运行模式只能选择高级防护模式重保护模式中的一种。例如某服务器当前是高级防护模式,如果您将该服务器设置为重保护模式,该服务器的防护模式会变为重保护模式
  5. 单击确定
  6. (可选)在重保护模式区域,在CPU阈值右侧设置CPU占用的阈值。设置重保护模式CPU阈值

    重保护模式支持设置CPU占用的阈值,阈值越高,防护更精准。可设置范围:5%~60%。默认取值5%。

    说明 重保护模式下告警检测类型多并且检测引擎的敏感度更高,会检测出更多的告警,可能会导致误报率增加。建议您及时关注并处理告警。

客户端自保护

开启客户端自保护后,未通过云安全中心控制台卸载Agent的行为将被云安全中心主动拦截,并对您服务器Agent目录下的进程文件提供默认保护,防止攻击者入侵服务器后卸载云安全中心Agent或您服务器中的其他进程误杀Agent,从而导致整个云安全中心防护失效。建议您为所有服务器开启客户端自保护。
说明
  • 为全面保护您的服务器安全,服务器在开启了客户端自保护后,您无法通过任何方式直接在服务器上卸载Agent(例如使用管理员权限通过卸载应用卸载Agent)。如果您需要在服务器上直接卸载Agent,必须先关闭服务器的客户端自保护。
  • 无论是否开启客户端自保护,您都可以在云安全中心控制台上卸载Agent。卸载Agent的详细操作步骤请参见卸载Agent

云安全中心基础版、基础杀毒版、高级版和企业版都支持客户端自保护功能。

操作步骤

  1. 登录阿里云云安全中心控制台
  2. 在左侧导航栏单击设置
  3. 设置页签的客户端自保护区域,打开防御模式开关。客户端自保护区域

    客户端自保护防御模式开启后,您已安装了Agent并属于客户端自保护保护范围内的服务器会自动开启客户端自保护。

  4. 单击保护范围右侧的管理
  5. 配置需要开启或关闭客户端自保护的服务器并单击确定客户端自保护

    显示在已保护服务器列表中的服务器将开启客户端自保护功能,显示在未保护服务器列表中的服务器将关闭客户端自保护功能。

    说明 您的服务器开启客户端自保护后,自保护机制会立即生效。您的服务器关闭客户端自保护5分钟后,自保护机制才会关闭。