文档

检测范围说明

更新时间:

云安全中心通过安装在您服务器上的Agent和云端防护中心的联动,为您提供服务器的安全告警、漏洞管理、病毒查杀、基线检查、攻击分析等功能。

关于云安全中心检测范围说明,请仔细阅读以下内容:

说明

以下收集的服务器相关信息的内容如发生变动,阿里云将提前在阿里云官网的适当版面公告向您提示修改内容;如您不同意阿里云所做的修改,您有权停止使用阿里云云安全中心服务。这种情况下,您可以卸载您服务器上的Agent。具体操作,请参见卸载Agent。如您继续使用阿里云云安全中心服务,则视为您接受阿里云所做的相关修改。

可疑文件信息

云安全中心为您提供恶意文件检测功能。系统在检测到可疑文件后会上传该文件的相关信息(包括但不限于文件的路径、MD5值、创建时间等)到云端防护中心,以便进行最终核查。确认为恶意文件后,云安全中心会向您发送安全告警通知。

可疑进程信息

云安全中心为您提供恶意进程检测功能。系统在检测到可疑进程后会上传该进程的相关信息(包括但不限于进程名、进程启动参数、进程对应文件的路径、进程启动时间等)到云端防护中心,以便进行最终核查。确认为恶意进程后,云安全中心会向您发送安全告警通知。

账户信息

云安全中心为您提供登录审计、疑似账号提醒、暴力破解拦截等功能。系统会定期分析和上传服务器的账号信息(包括但不限于用户名、用户权限等)和登录日志信息(包括但不限于登录名、登录IP等)。如果发生异常登录事件,云安全中心会向您发送安全告警通知。

异常连接信息

云安全中心为您提供异常网络连接检测功能。系统在检测到可疑网络连接后,会上传该网络连接的相关信息(包括但不限于访问源IP、源端口、访问目的IP、目的端口等)到云端防护中心,以便进行最终核查。确认为异常连接后,云安全中心会向您发送安全告警通知。

服务器资产信息

云安全中心为您提供资产管理功能。系统将定期收集服务器的相关资产信息(包括但不限于安装的软件信息、监听的端口信息、运行的网站信息等),并在云安全中心控制台资产中心页面为您统一展示所有资产。

容器镜像安全

云安全中心为您提供镜像安全扫描功能。系统将定期扫描容器中是否存在漏洞和恶意文件,并在云安全中心控制台镜像安全扫描页面为您展示容器中检测出的所有漏洞和恶意文件信息。

容器运行时安全

云安全中心为您提供容器运行时威胁检测功能,实时检测运行中的容器是否存在病毒文件、恶意程序、内部入侵行为、容器逃逸、高风险操作等威胁。如果在容器运行时检测出了安全风险,云安全中心会向您发送安全告警通知。

支持检测的漏洞类型

下表介绍云安全中心的不同版本对各类型漏洞的扫描、修复的支持情况。

说明

下表中的标识说明如下:

  • 对:表示支持。

  • 错:表示不支持。

漏洞类型

功能模块

免费版

仅采购增值服务

防病毒版

高级版

企业版

旗舰版

Linux软件漏洞

手动扫描漏洞

错错错对对对

自动扫描漏洞(周期性)

对(默认每2天)

对(默认每2天)

对(默认每2天)

对(默认每天)

对(默认每天)

对(默认每天)

漏洞修复

错

购买漏洞修复次数或开通按量付费

购买漏洞修复次数或开通按量付费

对对对

Windows系统漏洞

手动扫描漏洞

错错错对对对

自动扫描漏洞(周期性)

对(默认每2天)

对(默认每2天)

对(默认每2天)

对(默认每天)

对(默认每天)

对(默认每天)

漏洞修复

错

需购买漏洞修复次数

需购买漏洞修复次数

对对对

Web-CMS漏洞

手动扫描漏洞

错错错对对对

自动扫描漏洞(周期性)

对(默认每2天)

对(默认每2天)

对(默认每2天)

对(默认每天)

对(默认每天)

对(默认每天)

漏洞修复

错错错对对对

应用漏洞

手动扫描漏洞

错错错错对对

自动扫描漏洞(周期性)

错错错错

对(每周,支持配置)

对(每周,支持配置)

漏洞修复

错错错错错错

应急漏洞

手动扫描漏洞

对对对对对对

自动扫描漏洞(周期性)

错错错

对(每周,支持配置)

对(每周,支持配置)

对(每周,支持配置)

漏洞修复

错错错错错错

支持的安全告警类型

告警名称

告警说明

网页防篡改

实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。可检测以下子项:

  • 异常文件添加

  • 异常文件修改

  • 异常文件删除

说明

网页防篡改是云安全中心的增值服务,需要您单独购买开通后才会开启网页防篡改的防御。网页防篡改为防病毒版高级版企业版旗舰版功能,基础版不支持该功能。更多信息,请参见网页防篡改

进程异常行为

检测资产中是否存在超出正常执行流程的行为,包括但不限于以下子项:

网站后门

使用自主查杀引擎检测常见后门文件,支持定期查杀和实时防护,并提供一键隔离功能。

  • Web目录中文件发生变动会触发动态检测,每日凌晨扫描整个Web目录进行静态检测。

  • 支持针对网站后门检测的资产范围配置。

  • 对发现的木马文件支持隔离、恢复和忽略。

说明

基础版仅支持部分类型WebShell检测,云安全中心其他版本支持所有类型的WebShell检测。如果您需要执行所有类型的WebShell检测,建议您升级到防病毒版高级版企业版旗舰版。升级的具体操作,请参见升级与降配

异常登录

检测服务器上的异常登录行为。通过设置合法登录IP、时间及账号,对于例外的登录行为进行告警。支持手动添加和自动更新常用登录地,对指定资产的异地登录行为进行告警。

可检测以下子项:

  • ECS非合法IP登录

  • ECS在非常用地登录

  • ECS登录后执行异常指令序列(SSH)

  • ECS被暴力破解成功(SSH)

更多信息,请参见云安全中心检测和告警异常登录功能的原理是什么?

异常事件

检测程序运行过程中发生的异常行为。

敏感文件篡改

检测是否存在对服务器中的敏感文件进行恶意修改,包含Linux共享库文件预加载配置文件的可疑篡改等行为。

恶意进程(病毒云查杀)

采用云+端的查杀机制,对服务器进行实时检测,并对检测到的病毒文件提供实时告警。您可通过云安全中心控制台对病毒程序进行处理。

可检测以下子项:

  • 访问恶意IP

  • 挖矿程序

  • 自变异木马

  • 恶意程序

  • 木马程序

异常网络连接

检测网络显示断开或不正常的网络连接状态。

可检测以下子项:

  • 主动连接恶意下载源

  • 访问恶意域名

  • 矿池通信行为

  • 可疑网络外连

  • 反弹Shell网络外连(详细信息,请参见云安全中心反弹Shell多维检测技术详解。)

  • Windows异常网络连接

  • 疑似内网横向攻击

  • 疑似敏感端口扫描行为(包括22、80、443、3389等常用端口)

其他

检测客户端异常离线问题。

异常账号

检测非合法的登录账号。

应用入侵事件

检测通过系统的应用组件入侵服务器的行为。

云产品威胁检测

检测您购买的其他阿里云产品中是否存在威胁,例如是否存在可疑的删除ECS安全组规则行为。

精准防御

恶意主机行为防御功能提供了精准防御能力,可对主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型进行防御。关于如何开启该功能,请参见主动防御

应用白名单

通过在白名单策略中设置需要重点防御的服务器应用,检测服务器中是否存在可疑或恶意进程,并对不在白名单中的进程进行告警提示。

持久化后门

检测服务器上存在的被攻击者植入的持久化后门或入侵痕迹,对内存马注入、后门程序、异常注册表项修改等威胁行为进行告警。

Web应用威胁检测

检测通过Web应用入侵服务器的行为。

恶意脚本

检测资产的系统功能是否受到恶意脚本的攻击或篡改,对可能的恶意脚本攻击行为进行告警提示。

恶意脚本分为有文件脚本和无文件脚本。攻击者在拿到服务器权限后,使用脚本作为载体来达到进一步攻击利用的目的。利用方式包括植入挖矿程序、添加系统后门、添加系统账户等操作。恶意脚本的语言主要包括Bash、Python、Perl、PowerShell、BAT、VBS。

威胁情报

利用阿里云自研的威胁情报库对访问流量、日志进行关联分析,识别出可能已经发生的威胁事件,主要包括恶意域名访问、恶意下载源访问、恶意IP访问等不易直接发现的入侵行为。

容器集群异常

检测正在运行的容器集群安全状态,帮助您及时发现容器集群中的安全隐患和黑客入侵行为。

您需要开启容器K8s威胁检测功能,具体操作,请参见容器防护设置

  • 本页导读 (1)
文档反馈