云安全中心的设置功能提供自定义配置病毒查杀、网站后门查杀、容器威胁检测、安全管控、访问控制、防护模式管理和客户端自保护的服务。
病毒查杀
病毒查杀能够帮助您自动隔离常见网络病毒,包括主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等。所有支持自动隔离的病毒都经过了阿里云安全专家的测试和验证,确保零误杀。关于病毒云查杀的说明,请参见病毒云查杀。
- 登录阿里云云安全中心控制台。
- 在左侧导航栏单击设置。
- 在设置页签的病毒查杀模块,单击管理。
- 在病毒查杀检测范围对话框中选择要开启病毒查杀自动隔离的服务器。
从左侧未检测服务器列表中选择要开启病毒查杀的服务器,单击右向箭头,将其移入右侧已检测服务器列表中,为该服务器开启病毒查杀功能;将服务器从右侧框移入左侧框,为该服务器关闭病毒查杀功能。
- 单击确定。
- 在病毒查杀模块,单击病毒拦截后按钮,开启病毒查拦截功能。开启病毒拦截后,云安全中心将对检测出的主流病毒类型进行自动隔离,您可在安全告警处理页面精准防御类型告警列表中,查看被病毒查杀功能自动隔离掉的病毒。
网站后门查杀
网站后门查杀功能会定期检测网站服务器、网页目录中的网站后门及木马程序。
只有为服务器开启网站后门查杀后,云安全中心安全告警才会触发网站后门检测,并向您展示相关告警记录。关于安全告警的详细介绍,请参见安全告警类型。
- 登录阿里云云安全中心控制台。
- 在左侧导航栏单击设置。
- 在设置页签的网站后门查杀模块,单击管理。
- 设置需要开启网站后门查杀的服务器。
从左侧未检测服务器列表中选择要开启网站后门查杀的服务器,单击右向箭头,将其移入右侧已检测服务器列表中,为该服务器开启网站后门查杀功能;将服务器从右侧框移入左侧框,为该服务器关闭网站后门查杀功能。
- 单击确定。
容器威胁检测
| 类型 | 检测项 |
|---|---|
| 异常网络连接 | 反弹Shell网络外连 |
| 可疑网络外连 | |
| 疑似内网横向移动 | |
| 恶意进程(云查杀) | DDoS木马 |
| 可疑矿机通信 | |
| 可疑程序 | |
| 可疑端口爆破扫描工具 | |
| 可疑黑客程序 | |
| 后门程序 | |
| 恶意漏洞扫描工具 | |
| 恶意程序 | |
| 挖矿程序 | |
| 木马程序 | |
| 自变异木马 | |
| 蠕虫病毒 | |
| 网站后门 | Webshell |
| 进程异常行为 | Apache-CouchDB执行异常指令 |
| FTP应用执行异常指令 | |
| Hadoop执行异常指令 | |
| Java应用执行异常指令 | |
| Jenkins执行异常指令 | |
| Linux异常账号创建 | |
| Linux计划任务执行异常指令 | |
| MySQL执行异常指令 | |
| Oracle执行异常指令 | |
| PostgreSQL应用执行异常指令 | |
| Python应用执行异常指令 | |
| SSH远程非交互式一句话异常指令执行 | |
| Webshell执行可疑探测指令 | |
| Windows-3389-RDP配置被修改 | |
| Windows异常下载指令 | |
| Windows异常帐号创建 | |
| crontab计划任务被写入恶意代码 | |
| Linux可疑命令序列 | |
| Linux可疑命令执行 | |
| 动态植入可疑脚本文件 | |
| 反弹Shell | |
| 反弹Shell命令 | |
| 可疑HTTP隧道信息泄露 | |
| 可疑SSH Tunnel端口转发隧道 | |
| 可疑Webshell写入行为 | |
| 可疑特权容器启动 | |
| 可疑端口监听异常进程 | |
| 启动恶意容器 | |
| 存在风险的Docker远程调试接口 | |
| 异常操作指令 | |
| 容器内部提权或逃逸 | |
| 启动恶意容器 |
安全管控
安全管控功能支持IP地址白名单配置,可对加入到白名单中的IP地址进行放行,避免拦截正常的流量。
如果云安全中心将正常访问的IP地址识别为风险IP并对其进行拦截,导致部分业务受影响,可通过安全管控功能设置IP白名单,放行因误判被拦截的IP地址。云安全中心不会对添加至IP白名单的IP地址进行告警或拦截。
访问控制
使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源的场景时,RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业的信息安全风险。
如果云安全中心检测到账号相关告警或异常事件,您可通过RAM排查并管理您账号下的用户及权限策略,加固您资产的信息安全。
防护模式管理
要使用云安全中心,您必须在服务器上安装Agent插件。关于Agent插件的说明,请参见Agent说明;关于如何安装Agent插件,请参见安装Agent。
| 防护模式 | 最高内存或CPU占用 | 支持的版本 | 应用场景 |
|---|---|---|---|
| 基础防护模式 |
|
基础版、高级版、企业版 | 基础防护模式适用于所有业务场景,极低的资源消耗对业务零影响。
说明 新购买的ECS默认开启基础防护模式。
|
| 高级防护模式 |
|
高级版、企业版 | 高级防护模式适用于关键业务的安全防护场景。该模式开启大数据分析引擎、机器学习、深度学习引擎,可以挖掘更多可疑的入侵行为和潜在的威胁。 |
| 重保障模式 |
|
企业版 | 重保护模式适用于重大活动的安全保障。该模式开启所有安全防护规则和安全引擎,通过智能化的规则提升告警检测引擎的敏感度,对任何可疑的入侵行为和潜在的威胁都会进行告警。 |
操作步骤
- 登录阿里云云安全中心控制台。
- 在左侧导航栏单击设置。
- 在设置页签的防护模式管理区域,单击高级防护模式或重保护模式区域的管理。
- 在高级防护模式或重保护模式页面,选中需要配置高级防护模式或重保护模式的服务器。
说明 服务器Agent的运行模式只能选择高级防护模式或重保护模式中的一种。例如某服务器当前是高级防护模式,如果您将该服务器设置为重保护模式,该服务器的防护模式会变为重保护模式。 - 单击确定
- (可选)在重保护模式模块,在CPU阈值右侧设置CPU占用的阈值。
重保护模式支持设置CPU占用的阈值,阈值越高,防护更精准。可设置范围:5%~60%。默认取值5%。
说明 重保护模式下告警检测类型多并且检测引擎的敏感度更高,会检测出更多的告警,可能会导致误报率增加。建议您及时关注并处理告警。
客户端自保护
仅云安全中心高级版和企业版支持客户端自保护功能。基础版用户需先升级到高级版或企业版,才能使用客户端自保护功能。
操作步骤
- 登录阿里云云安全中心控制台。
- 在左侧导航栏单击设置。
- 在设置页签的客户端自保护区域,打开防御模式开关。
客户端自保护防御模式开启后,您已安装了Agent的服务器会自动开启客户端自保护。
- 单击保护范围右侧的管理。
- 配置需要开启或关闭客户端自保护的服务器并单击确定。
显示在已保护服务器列表中的服务器将开启客户端自保护功能,显示在未保护服务器列表中的服务器将关闭客户端自保护功能。
在文档使用中是否遇到以下问题
更多建议
匿名提交