基线检查任务完成后,您可以在基线检查页面查看和处理资产中存在基线风险问题。本文介绍如何查看基线检查结果,以及处理资产中存在的基线风险问题。

背景信息

开通基线检查服务后,云安全中心会使用系统内置的默认策略对所有资产进行基线检查。您也可按照业务场景需要自定义基线检查策略,检查您的资产是否存在相应的基线风险。自定义基线检查策略的具体内容,请参见设置、执行基线检查策略
说明 仅企业版、旗舰版支持添加标准策略添加自定义策略,高级版不支持。高级版仅可使用默认策略执行基线检查。

前提条件

已完成基线检查。具体操作,请参见设置、执行基线检查策略

查看基线检查结果

云安全中心从基线和检查项维度展示基线检查结果。您可在基线检查策略页签查看基线维度的检查结果,也可在风险情况页签查看检查项维度的检查结果。

  1. 登录云安全中心控制台在左侧导航栏,选择风险管理 > 基线检查
  2. 基线检查页面,查看基线检查结果。
    • 查看基线检查结果总览

      基线检查页面上方总览区域,从安全风险、合规和自定义基线三个方面展示了您资产基线配置中存在风险的总体数据。

    • 查看单个基线检查策略的检测结果

      基线检查策略页签的策略总览区域,单击三角图标,展开基线检查策略菜单,选中需要执行即时手动检查的基线策略,在右侧可以查看该基线检查策略的检查服务器数基线数量高危弱口令风险最新检查通过率。单击立即检查可立即执行该基线检查策略。

      单击基线总览
      功能 说明
      基线检查策略 在基线检查策略菜单中,可以查看已有的基线检查策略。
      检查服务器数 云安全中心执行基线检查的服务器数量,即您在配置基线检查策略时,选中的分组中服务器的总台数。
      高危弱口令风险 当前基线检查策略检测出的高危弱口令风险项数量。单击高危弱口令风险下的数字,可以查看高危弱口令风险项的列表。
      重要 高危弱口令风险为风险等级较高的基线风险问题,建议您优先处理。
      最新检查通过率 最近一次执行基线检查的基线合格率。以下是最新检查通过率字体颜色的含义:
      • 绿色:表示扫描的资产中基线配置合格率较高。
      • 红色:表示检查的资产中不合格的基线配置较多,可能存在安全隐患,建议前往基线检查详情页面查看并修复。
    • 查看基线维度的基线检查结果列表及详情

      基线检查策略页签的基线检查结果列表区域,您可以查看详细的基线检查结果。

      1. 在基线检查结果列表中,单击基线名称,展开该基线的详情面板。

        在基线详情面板上,查看受该基线影响的资产及资产基线检查的通过项风险项等信息。

      2. 在基线详情面板上,单击某个受影响的资产的操作列的查看,展开风险项面板。

        风险项面板上,可查看该资产上存在的所有基线风险问题。

      3. 风险项面板上,单击某个资产操作列的详情,可查看云安全中心提供的关于该风险项的描述检查提示加固建议等信息。
      4. 可选:在基线检查结果列表右上方,单击导出图标,在基线导出任务选项对话框中选择导出方式,可以导出基线检查结果。
        针对基线中包含的弱口令信息的导出,云安全中心提供了以下导出方式:
        • 弱口令明文导出:即对于基线检查结果中的弱口令信息直接明文导出。
        • 弱口令脱敏导出:即对于基线检查结果中的弱口令信息脱敏后再导出。
    • 查看检查项维度的基线检查结果列表及详情

      风险状况页签,可以从检查项维度查看基线检查结果。

      您可使用列表上方的搜索组件搜索,按照检查项的风险等级、状态和类型筛选目标检查项,也可在搜索框中输入检查项名称搜索目标检查项。

      单击目标检查项操作列的详情,在详情面板可以查看检查项的描述加固建议以及受影响的资产列表。

处理基线风险

  1. 登录云安全中心控制台在左侧导航栏,选择风险管理 > 基线检查
  2. 基线检查页面按照基线或检查项维度处理基线风险问题。
    • 按照基线维度处理基线风险

      基线检查策略页面下的基线检查结果列表中,单击待处理的基线检查结果的基线名称,在右侧面板上,单击服务器操作列的查看,在风险项面板上,处理该服务器上存在的基线风险问题。

    • 按照检查项维度处理基线风险

      风险情况页签下的基线检查结果列表中,单击待处理检查项操作列的详情,在详情页面处理基线风险问题。

    以下为基线风险问题处理方式的介绍。
    • 修复

      云安全中心仅支持修复Linux系统的阿里云标准和等保标准基线相关检查项。如果检查项为Linux系统的阿里云标准和等保标准基线相关检查项,您可以在云安全中心直接修复基线风险问题;如果检查项不是Linux系统的阿里云标准和等保标准基线相关检查项,则需要您登录存在该基线风险问题的服务器,在服务器上修改基线问题对应的服务器的配置,修改完成后,在云安全中心进行验证

      • 在云安全中心直接修复基线风险问题
        1. 风险项面板上,单击目标检查项操作列的修复
        2. 修复风险资产对话框,进行如下配置。
          配置项说明如下:
          配置项 说明
          修复方式 配置基线风险问题的修复方式。
          说明 不同类型的风险项对应的修复方式不同,请根据实际场景配置修复方式。
          批量处理 选择是否要批量处理存在相同基线风险问题的其他资产。
          风险保障 选择是否通过创建快照的方式,备份系统数据。
          警告 云安全中心在修复基线风险问题时,可能存在修复失败的风险,影响到您业务正常运行。建议您在修复前对系统进行备份,以便在修复失败影响您业务正常运行时,可快速恢复到执行修复操作前的状态,使业务能正常运转。
          • 自动创建快照并修复:您需要设置快照名称快照保存时间,然后单击立即修复
            说明 创建快照将产生费用。您可以单击页面上的查看计费说明,了解具体的快照计费信息。
          • 不建立快照备份直接修复:如果您确定不创建快照直接修复基线问题,单击立即修复即可。
        3. 单击立即修复
      • 登录对应服务器修复基线风险问题

        在风险项面板上,单击目标检查项操作列的详情,可查看云安全中心提供的关于该检查项的描述检查提示加固建议等信息。请根据云安全中心提供的加固建议,登录存在该基线问题的服务器,在服务器上修改基线风险问题对应的服务器的配置。

    • 加白名单
      如果您确认检查未通过的基线检查项无需处理,可通过加白名单功能对此服务器上存在的该基线风险产生的告警进行加白。
      说明 加入白名单是将该服务器加入基线检查策略的白名单。加入白名单后,后续基线检查时会忽略此服务器上存在的该风险问题。
      • 基线维度处理基线风险加入白名单

        风险项面板上,单击目标检查项操作列的加白名单,在检查项忽略原因对话框中填写加白原因,然后单击确定,将检查项批量加入白名单中。

        如果需要将多个检查项加入白名单,您需要先选择状态为未通过并需要加入白名单的检查项,再单击检查项列表下方的加白名单

      • 检查项维度处理基线风险加入白名单

        在检查项列表中,单击要加入白名单的检查项操作列的加入白名单,在检查项忽略原因对话框中填写加白原因,然后单击确定,将检查项批量加入白名单中。

        如果您仅想将存在该风险的部分服务器加白,您单击检查项操作列的详情,在详情面板的服务器列表中,选中要加入白名单的服务器,单击列表下方的加入白名单

  3. 验证基线风险问题修复结果。
    风险项面板上,单击目标检查项操作列的验证,对已处理风险项的资产进行验证。如果验证通过,资产的风险项数值会相应地减少,同时该风险项状态会更新为已通过
    说明 如果您未进行手动验证,云安全中心将会根据您在扫描策略中设置的检测周期执行自动验证。

相关操作

  • 回滚

    如果您在修复阿里云ECS服务器上存在的基线风险问题前,对该服务器使用快照进行了备份,在服务器上的基线风险问题修复失败导致业务中断时,您可在基线详情面板上,单击该服务器操作列的回滚,在快照对话框中,选中基线修复前备份的快照,单击下方确定。执行回滚操作后,该服务器的配置可恢复到基线风险问题修复前创建的快照的配置。

  • 取消加白

    如果需要云安全中心对已忽略的基线检查配置项再次触发告警,可对已忽略的检查项或服务器执行取消加白。取消加白后,该基线检查配置项会再次触发告警。

    风险项面板上,定位到需取消白名单的检查项,单击其操作取消加白,在取消忽略操作对话框中,单击确定,可将该检查项移出白名单。您也可以选中多个需要取消白名单的检查项,单击下方取消加白,将多个检查项批量移除白名单。