云安全中心为您提供告警通知、病毒查杀、网站后门查杀、客户端自保护、镜像安全扫描等安全能力,全方位保护您的云上资产和本地服务器安全。本文介绍云安全中心常用功能配置方法,帮助您简化产品使用流程。

背景信息

本文根据用户阅读文档的习惯,汇总了云安全中心常用功能的简化操作指导。

设置云安全中心通知

完成通知设置后,云安全中心会在检测到您资产存在异常情况时,根据您在通知设置中的关注等级,在您设置的通知时间点,通过短信、邮件、站内信和钉钉机器人这些丰富的通知方式,为您及时发送告警通知,帮助您第一时间获取资产的安全情况。更多信息,请参见通知

  1. 登录云安全中心控制台
  2. 设置页面的通知页签中,针对默认提供的通知项目,选择您需要的通知发送时间和通知发送方式,分别选中需要进行告警的安全事件等级。2

    通知项目是指云安全中心检测到您资产中发生的威胁事件和存在的安全隐患。云安全中心支持的通知项目包括:漏洞基线检查安全告警AccessKey泄露情报云平台配置检查应急漏洞情报网页防篡改

设置主动防御开关、网站后门查杀和客户端自保护

设置功能提供自定义配置病毒查杀、网站后门查杀和客户端自保护等服务,您需要在设置模块中开启对应的服务,并选择需要防护的服务器。
说明 如果您未开启主动防御开关,云安全中心仅检测这类威胁,但不会对主流病毒和恶意网络行为进行自动处理。
  1. 登录云安全中心控制台
  2. 设置页面,设置主动防御开关。
    单击防病毒防勒索(诱饵捕获)网站后门连接防御恶意网络行为防御右侧的管理,添加需要检测的服务器,并打开检测开关。
    开启主动防御后,云安全中心将对检测出的主流病毒类型或异常连接进行自动隔离,您可在安全告警处理页面精准防御类型告警列表中,查看被主动防御功能自动隔离掉的病毒。精准防御
  3. 设置网站后门查杀。
    网站后门查杀区域,单击管理,并添加需要开启网站后门查杀的服务器。
  4. 为服务器开启客户端自保护。
    客户端自保护区域,打开防御模式开关,单击管理,设置需要防护的服务器。
说明 更多详细信息,请参见概述

执行镜像安全扫描

镜像安全扫描功能为云安全中心增值服务,您需要预先购买足够的容器镜像安全扫描次数,才能使用该功能。具体操作,请参见镜像安全扫描开通服务

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择安全防范 > 镜像安全扫描
  3. 可选:单击立即授权
    首次使用镜像安全扫描功能需进行授权。
  4. 镜像安全扫描页面,单击立即扫描
    扫描预计需要1分钟时间,扫描完成后您需要手动刷新当前页面查看最新数据。
  5. 镜像系统漏洞镜像应用漏洞镜像恶意样本页签下查看扫描出的镜像漏洞或恶意样本。
    根据需要您可以执行以下操作:
    • 搜索指定漏洞或恶意样本

      在搜索框选择漏洞修复紧急度(高、中、低)或恶意样本严重程度(紧急、可疑、提醒),输入实例ID、仓库名称、命名空间或摘要等,搜索指定漏洞或恶意样本。

    • 查看漏洞或恶意样本详情

      单击漏洞或恶意样本名称,查看漏洞或恶意样本详情。在漏洞或恶意样本详情页面,您可以查看漏洞详情(包括漏洞编号、影响分、漏洞公告)或恶意样本详情(包括处理紧急程度、恶意样本MD5、最新扫描时间和首次扫描时间),以及受影响镜像的列表信息。

    • 查看受影响镜像详情

      单击漏洞或恶意样本名称,进入漏洞或恶意样本详情页面后,单击需查看的镜像操作列下的详情。查看该镜像扫描出的漏洞或恶意样本的详细信息。

执行云平台配置检查

云平台配置检查功能为您检查云产品安全配置中的安全风险。云安全中心支持手动立即检查和周期性自动检查云平台配置是否存在风险。
  • 手动检查:在云平台配置页面,执行立即检查,即时手动检查您云产品的配置是否存在风险。
  • 周期性自动检查:云安全中心默认每隔1天在00:00~06:00自动检查云平台配置是否存在风险。您也可根据需要设置自定义的检查周期,定期检查云平台配置,帮助您及时发现并处理您的云产品配置风险。

手动检查

  1. 登录云安全中心控制台
  2. 云平台配置检查页面,单击检查项列表上方的立即检查,对云产品配置进行全量检查,确定是否存在风险项以及影响的资产数量。
    说明 全量检查时,需要完成全部检查项的检查后才可以进行其他操作,请耐心等待。
    完成检查后,检查项列表中按检查结果的严重等级由高风险到低风险进行排序。

自动检查

  1. 登录云安全中心控制台
  2. 云平台配置检查页面右上角,单击检查设置
  3. 检查设置对话框中设置云平台配置检查的检查周期检查时间
    配置项
    • 检查周期:可选星期一至星期日,支持多选。
    • 检查时间:可选择24:00~06:0006:00~12:0012:00~18:0018:00~24:00这4个时间段中的任意一个。
  4. 单击确定
    在选定时间段内,云安全中心会对所有检查项自动执行一次检查。

检查完成后,建议您及时关注并处理检测出的安全风险。具体操作,请参见查看和处理云平台配置检查结果

执行安全组配置检查

安全组配置检查功能为您检查ECS服务器安全组中存在高危风险的规则,并提供修复建议,为您的网络提供更强的安全防护。

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择应用市场 > 安全组检查
  3. 可选:安全组配置检查页面单击获取最新检查结果
    安全组检查预计需要1~5分钟,请您耐心等待。立即检查安全组
    说明 此处获取的最新检查结果只是针对安全规则的静态分析得出,可能无法覆盖全部的端口风险情况。您可以在云防火墙互联网访问活动页面查看端口相关的全部检查结果,了解端口的实际暴露情况。
  4. 定位到指定规则,单击其操作列下的修复详情,参考安全组修复详情页面的修复建议,对您关注的安全组规则(例如:高危安全组规则)进行修复。
  5. 修复高危安全组规则。
    1. 定位到指定规则,单击其操作列下的修复详情
      您也可以单击风险安全组数下的数字跳转至安全组修复详情页面。
    2. 安全组修复详情页面,定位到需要修复的安全组,单击其操作列下的去安全组修复安全组修复详情页面
      安全组规则设置不当可能会引起严重的安全事故。安全组修复详情页面针对风险安全组提供了修复建议,您需要根据修复建议尽快修改存在风险的安全组规则。
      如果您是云防火墙高级版及以上版本用户,您将跳转到安全组列表页面。您需要根据修复建议手动修复高危安全组规则。更多信息请参见修改安全组规则。如果您是云防火墙免费版用户,您需要执行子步骤c中的内容。
    3. 可选:推荐使用云防火墙智能修复对话框,单击立即升级去安全组手动修复
      可选择的修复方式说明如下:
      • 立即升级:购买云防火墙高级版本,使用云防火墙提供的安全组配置检查功能修复安全组高危规则。云防火墙可统一管理安全组和公网IP访问控制策略,及时缩小安全风险暴露面,提高安全管理效率。推荐您使用该方式。
      • 去安全组手动修复:跳转到安全组列表页面,手动修复高危安全组规则。更多信息请参见修改安全组规则

配置暴力破解防御规则

云安全中心提供防暴力破解功能,您可以自定义暴力破解防御规则。

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择威胁检测 > 安全告警处理
  3. 单击页面右上角安全告警设置
  4. 安全告警设置页面,单击防暴力破解页签。
  5. 可选:完成授权。
    1. 将鼠标移动至防暴力破解右侧的管理,单击去授权
    2. 单击同意授权
    说明 首次配置暴力破解防御规则需要操作授权,如果您已经完成相应授权,请忽略该步骤,直接执行下一步骤。
  6. 单击防暴力破解右侧的管理
  7. 添加防御规则页面,配置防御规则。添加防御规则

    云安全中心为您提供了默认防御规则:防暴力破解攻击阿里云最佳实践,该防御规则具体为10分钟内登录失败次数超过80次,禁止登录6小时。您可以选择对应服务器,直接使用该默认防御规则。您也可以参考以下表格中的配置说明自定义防御规则。

    参数 说明
    防御规则名称 可自定义规则名称。
    防御规则 设置某个时间范围(支持选择1分钟、2分钟、5分钟、10分钟、15分钟)内登录失败次数超过限定次数(支持选择2次、3次、4次、5次、10次、50次、80次、100次),禁止登录时长(支持选择5分钟、15分钟、30分钟、1小时、2小时、6小时、12小时、24小时、7天、永久)

    例如:1分钟内登录失败次数超过3次,禁止登录30分钟

    请选择对应的服务器 设置防御规则生效的服务器。支持直接选择云安全中心防护的服务器,或根据服务器名称和IP筛选指定服务器。
    设置为默认策略 设置该防御规则是否为默认策略。设置为默认策略后,其他未添加防御规则的服务器将默认应用该规则。
    说明 选中设置为默认策略后,无论您是否在请选择对应的服务器中选择了服务器,当前策略都会对所有未添加防御规则的服务器生效。
  8. 单击确定
    说明 每台服务器仅支持配置一个防御规则。
    • 如果该规则中设置生效的服务器已配置了其他防御规则,在确认防御规则变更页面,单击确认确认防御规则变更
    • 如果该规则中设置生效的服务器未配置其他任何防御规则,该防御规则添加成功。
  9. IP规则策略库页面查看云安全中心为您自动生成的IP拦截策略。
    您在安全告警设置 > 防暴力破解页面添加了防御规则后,该规则触发了IP拦截,就会自动生成IP拦截策略。以下步骤介绍如何查看IP拦截策略。
    1. 安全告警处理页面,单击生效IP拦截策略/全部策略下的数字。
      单击生效IP拦截策略下的数字可跳转到已启用的系统内置IP拦截规则页面。单击全部策略下的数字可跳转到全部状态(包括已启用和已禁用)的系统内置IP拦截规则页面。
    2. IP规则策略库系统规则页签下,查看云安全中心自动生成的IP拦截策略。IP拦截策略系统规则
      IP拦截策略的更多信息,请参见设置IP拦截策略

配置网页防篡改

网页防篡改功能可实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改。使用网页防篡改功能需要您预先购买防篡改授权数。相关内容,请参见网页防篡改开通服务

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择主动防御 > 网页防篡改
  3. 网页防篡改页面,单击防护管理页签。
  4. 防护管理页签单击为服务器添加防护,将需要保护的服务器添加到网页防篡改防护列表中。 为服务器添加防护
  5. 创建网页防篡改对话框中选择目标服务器。创建网页防篡改
    说明 可使用的授权配额为0时,您将无法添加新的防护服务器。如果有无需防护的服务器,可以暂时关闭该服务器的防护状态。关闭防护后,将会释放出对应数量的可用授权配额,以便您添加新的服务器。例如:关闭1台服务器的防护状态,将会释放出1个可用授权配额。
  6. 单击下一步,进入添加防护目录页签。
  7. 添加防护目录页签中,完成以下配置。添加防护目录
    选择防护模式。可选白名单模式黑名单模式。白名单模式下,会对添加的防护目录和文件类型进行保护;黑名单模式下,会防护目录下所有未排除的子目录、文件类型和指定文件。默认开启白名单模式。
    • 白名单模式配置:
      配置项 描述
      防护目录 手动输入该服务器下需要开启防篡改保护的目录地址。
      说明 Linux服务器和Windows服务器防护目录地址的格式可能会有区别,请根据页面提示输入正确的格式。
      防护文件类型 单击下拉列表,选择该目录中需要防护的文件类型,例如:JSHTMLXMLJPG等。
      本地备份目录 展示防护目录的默认备份存储路径。

      云安全中心为您指定的默认备份目录为/usr/local/aegis/bak(Linux服务器)和C:\Program Files (x86)\Alibaba\Aegis\bak(Windows服务器),您可手动修改默认的备份路径。

    • 黑名单防护模式:
      配置项 描述
      防护目录 手动输入该服务器下需要开启防篡改保护的目录地址。
      排除子目录 手动输入无需开启网页防篡改的子目录地址。

      单击添加子目录,支持添加多个子目录。

      添加排除子目录后,云安全中心将不会对该子目录中的文件进行防护。

      排除文件类型 选择无需进行网页防篡改检测的文件格式。

      可选值包含logtxtldb

      选择排除文件类型后,云安全中心将不会对该防护目录下该类型的文件进行防护。

      排除指定文件 手动输入无需开启网页防篡改的文件目录地址。

      单击添加文件,支持添加多个文件。

      输入指定文件后,云安全中心将不会对该指定文件进行防护。

      本地备份目录 展示防护目录的默认备份存储路径。

      云安全中心为您指定的默认备份目录为/usr/local/aegis/bak(Linux服务器)和C:\Program Files (x86)\Alibaba\Aegis\bak(Windows服务器),您可手动修改默认的备份路径。

  8. 单击开启防护,完成添加服务器和目录的操作。
    添加服务器完成后,该服务器将显示在网页防篡改页面的防护服务器列表中。
    说明 添加服务器后,服务器的网页防篡改防护是默认关闭状态的。您需要在网页防篡改页面开启目标服务器的防护状态。
    防护服务器列表
  9. 在防篡改防护列表中,单击目标服务器防护状态开关,为该服务器开启防护服务。防护状态
    说明 添加服务器后,服务器的网页防篡改防护是默认关闭状态的。您需要在网页防篡改列表中开启目标服务器的防护状态。
    首次开启防护时,目标主机的服务状态将会显示为启动中,并显示启动进度条。请耐心等待数秒,启动成功后服务状态将会显示为正在运行启动中
    当防护服务状态为异常时,在目标服务器服务状态栏单击异常,显示异常状态的详细原因并单击重试。详情请参见防护异常状态处理异常

配置防勒索

云安全中心针对勒索病毒提供防御、告警和数据备份的能力,可预防勒索病毒入侵您的核心服务器。使用防勒索功能需要您预先购买防勒索容量。具体操作,请参见防勒索开通服务

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择主动防御 > 防勒索
  3. 通用防勒索解决方案页面单击立即授权
  4. 通用防勒索解决方案页面单击创建防护策略
    您也可以单击未防护的服务器下的数字进入创建防护策略页面。未保护服务器入口
  5. 创建防护策略页面,配置防护策略相关参数。
    创建防护策略您可以参考以下表格中的参数说明配置防护策略。
    参数 说明
    策略名称 输入防护策略的名称。
    选择资产 支持选中单台资产、跨组选中多台资产或者选中资产分组。 执行以下操作选择需要防护的资产:
    • 资产分组区域选择某一资产分组,系统将自动选择该分组下的所有资产。您可在右侧资产模块下,取消选中不需要的防护的资产。
    • 资产模块下输入资产名称(支持模糊查询),单击搜索框的搜索按钮后会为您展示相关资产,您可选中需要防护的资产。
    说明
    • 为保证您的防护容量得到合理和有效地利用,每台服务器只支持添加到一个防护策略中。每个防护策略中,最多只能添加100台服务器。
    • 防勒索功能仅支持备份阿里云ECS服务器数据,不支持备份非阿里云服务器数据。您只能为您的阿里云ECS服务器创建防护策略。
    • 防勒索数据备份功能现已支持西南1(成都)、华东2金融云(上海)、华北2阿里政务云、华东2(上海)、华东1(杭州)、华北2(北京)、华南1(深圳)、华北3(张家口)、华北5(呼和浩特)、华北1(青岛)、中国香港、新加坡、印度尼西亚(雅加达)、澳大利亚(悉尼)、美国(硅谷)、美国(弗吉尼亚)、德国(法兰克福)、日本(东京)和印度(孟买)地域。其他地域暂不支持。目前您只能选择防勒索支持的地域下的ECS服务器。
    防护策略 支持选择以下策略:
    • 推荐策略
      选择推荐策略后,默认选择以下配置:
      • 防护目录:全部目录(排除系统目录)
      • 防护文件类型:全部文件类型
      • 数据备份开始时间:00:00~03:00的任一时刻
      • 备份策略执行间隔:一天
      • 备份数据保留时间:七天
      • 备份网络带宽限制(MB/s):5 MB/s
    • 自定义策略

      选择自定义策略后,您需要自定义防护策略的防护目录、防护文件类型、数据备份开始时间、备份策略执行间隔、备份数据保留时间、备份网络带宽限制(MB/s)等参数。

    防护目录 选择需要进行防护的目录,支持选择以下类型:
    • 指定目录:防护已选中资产的指定目录。您需要在目录地址文本框中输入需要防护的目录地址。
    • 全部目录:防护已选中资产的全部目录。 您需要在是否排除系统目录处选择是否排除系统目录。
      说明 为防止出现系统冲突,选择全部目录后,建议您在设置是否排除系统目录时选择排除
    是否排除系统目录 选择排除不排除系统目录。以下是选择排除后Windows和Linux系统的排除目录:
    • Windows
      • Windows\
      • python27\
      • Program Files (x86)\
      • Program Files\
      • ProgramData\
      • Boot\
      • $RECYCLE.BIN\
      • System Volume Information\
      • Users\Administrator\NTUSER.DAT
      • pagefile.sys
    • Linux
      • /bin/
      • /usr/bin/
      • /sbin/
      • /boot/
      • /proc/
      • /sys/
      • /srv/
      • /lib/
      • /selinux/
      • /usr/sbin/
      • /run/
      • /lib32/
      • /lib64/
      • /lost+found/
      • /var/lib/kubelet/
    目录地址 输入需要防护的目录地址。如果有多个目录需要防护,您可以单击新增增加目录地址。如果不需要防护某条目录,您可以单击删除来删除该目录地址。
    说明
    • 仅在防护目录选择指定目录时需要配置该参数。
    • 对防护策略中每个目录地址,云安全中心会启动相应的数据备份任务。目前多个数据备份任务会同时进行,可能会占用较多的CPU和内存资源。建议您根据实际情况,设置合理数量的备份目录。
    防护文件类型 选择需要进行防护的文件类型,支持选择以下类型:
    • 指定类型:防护指定类型的文件。您需要在选择文件类型中选择需要防护的具体文件类型。
    • 全部文件类型:防护所有类型的文件。
    选择文件类型 支持选择以下文件类型:
    • 文档类
    • 图片类
    • 压缩包类
    • 数据库类
    • 音频视频类
    • 脚本代码类
    说明
    • 仅在防护文件类型选择指定文件类型时需要配置该参数。
    • 支持同时选中多个文件类型。云安全中心仅防护您资产中此处选中类型的文件。
    数据备份开始时间 设置数据备份开始时间。数据备份可能会占用少量CPU和内存,建议您将数据备份开始时间设置为业务量较小的时段,例如00:00。
    说明 防护策略创建后,初次进行数据备份时由于要全量备份防护目录下的数据,会消耗一定量的CPU和内存资源。为避免对您的业务造成影响,建议您选择业务量较小的时段进行数据备份。
    备份策略执行间隔 设置备份策略执行间隔,默认为一天。支持选择以下时间:
    • 半天
    • 一天
    • 三天
    • 七天
    备份数据保留时间 设置备份数据保留时间,默认为7天。支持选择以下时间:
    • 7天
    • 30天
    • 半年
    • 一年
    • 永久
    备份网络带宽限制(MB/s) 受防勒索保护的备份数据占用的带宽流量阈值。可以设置的范围:1 MB/s~不限流量。
    说明 建议您根据服务器的带宽,设置合理的流量阈值,避免备份占用过多带宽对您业务产生影响。
  6. 单击确定
    创建并启用防护策略后,云安全中心将自动在您的ECS服务器上安装防勒索客户端,并根据防护策略中设置的备份条件对生效服务器的防护目录进行数据备份。
  7. 在防护策略列表中开启该策略。

    创建策略后还需要在防护策略列表中开启该策略,云安全中心才会备份该策略中设置的服务器文件目录。

    开启防护策略