全部产品
云市场

云安全中心检测和告警异常登录功能的原理

概述

本文主要介绍云安全中心检测和告警异常登录的功能原理。

详细信息

以下是关于云安全中心检测、告警异常登录的功能原理和告警策略。

说明:线下服务器在安装云安全Agent之后,也支持异常登录检测和告警。

功能原理

云安全中心异常登录功能可以检测您服务器上的登录行为,对于在非常用登录地的登录行为进行告警。高级版和企业版中可允许客户设置合法登录IP、合法登录时间、合法登录账号,在上述合法登录IP、合法登录事件、合法登录账号之外的登录行为均提供告警。在云盾服务器安全(云安全中心)管理控制台中的异常登录界面,您可以查看服务器上每次登录行为有异常的登录IP地址、账号、时间,包括异地登录告警及非法登录IP、非法登录时间、非法登录账号的登录行为告警。

云安全中心Agent通过定时收集您服务器上的登录日志并上传到云端,在云端进行分析和匹配。如果发现在非常用登录地或非法登录IP、非法登录时间、非法登录账号的登录成功事件,将会触发事件告警。关于不同IP登录行为的具体说明如下:

  • 当云安全中心首次应用于您的服务器上时,由于服务器未设置常用登录地,这段期间内的登录行为不会触发告警。
  • 当某个公网IP第一次成功登录服务器后,会将该IP地址的位置记为常用登录地,并将从该时间点往后顺延24小时内的所有公网登录地都记为常用登录地。当超过24小时后,所有不在上述常用登录地的登录行为均被视为异地登录进行告警。
  • 当某个IP被判定为异地登录行为,只会有第一次登录行为进行短信告警。如果该IP成功登录6次或6次以上,云安全中心默认将此IP的地点记录为常用登录地。
    说明异地登录只针对公网IP。

告警策略

以下是关于异常IP登录的告警策略:

  • 云安全中心会对某个异地IP的第一次登录行为进行短信告警。如果该IP持续登录,则只在控制台进行告警,直到该IP地址登录满6次会被自动记录为常用登录地。
  • 如果您的云安全中心的版本为高级版企业版,您可以针对机器设置合法登录IP、合法登录时间、合法登录账号,对上述合法登录IP、合法登录事件、合法登录账号之外的登录行为均提供告警,判断优先级高于异地登录判断。

适用于

  • 云安全中心