云安全中心常用功能的配置方法_云安全中心-阿里云帮助中心

设置云安全中心通知

完成通知设置后，云安全中心会在检测到您资产存在异常情况时，根据您在通知设置中的关注等级，在您设置的通知时间点，通过短信、邮件、站内信和钉钉机器人这些丰富的通知方式，为您及时发送告警通知，帮助您快速获取资产的安全情况。更多信息，请参见通知设置。

登录云安全中心控制台。在左侧导航栏，选择系统配置 > 通知设置。
在通知设置页面，针对默认提供的通知项目，选择您需要的通知发送时间和通知发送方式，分别选中需要进行告警的安全事件等级。

通知项目是指云安全中心检测到您资产中发生的威胁事件和存在的安全隐患。云安全中心支持的通知项目包括：漏洞、防勒索任务执行结果通知、基线检查、安全告警、精准防御AccessKey泄露情报、云平台配置检查、应急漏洞情报、网页防篡改、容器防火墙异常告警通知、容器防火墙主动防御通知、恶意IP拦截告警通知、病毒扫描通知、日志超量、云蜜罐告警和应用防护告警。

设置主动防御开关、网站后门查杀和客户端自保护

设置功能提供自定义配置病毒查杀、网站后门查杀和客户端自保护等服务，您需要在设置模块中开启对应的服务，并选择需要防护的服务器。

说明如果您未开启主动防御开关，云安全中心仅检测这类威胁，但不会对主流病毒和恶意网络行为进行自动处理。

登录云安全中心控制台。在左侧导航栏，选择系统配置 > 功能设置。
在设置页签，设置主动防御开关。
单击防病毒、防勒索（诱饵捕获）、网站后门连接防御、恶意网络行为防御右侧的管理，添加需要检测的服务器，并打开检测开关。
开启主动防御后，云安全中心将对检测出的主流病毒类型或异常连接进行自动隔离，您可在安全告警处理页面精准防御类型告警列表中，查看被主动防御功能自动隔离掉的病毒。
设置网站后门查杀。
在网站后门查杀区域，单击管理，并添加需要开启网站后门查杀的服务器。
为服务器开启客户端自保护。
在客户端自保护区域，打开防御模式开关，单击管理，设置需要防护的服务器。

执行镜像安全扫描

镜像安全扫描功能为云安全中心增值服务，您需要预先购买足够的容器镜像安全扫描次数，才能使用该功能。具体操作，请参见镜像安全扫描开通服务。

登录云安全中心控制台。在左侧导航栏，选择防护配置 > 容器防护 > 镜像安全扫描。
可选：单击立即授权。
首次使用镜像安全扫描功能需进行授权。
在镜像安全扫描页面，单击立即扫描。
扫描预计需要1分钟时间，扫描完成后您需要手动刷新当前页面查看最新数据。
在镜像漏洞风险、镜像基线检查或镜像恶意样本页签下查看扫描出的镜像漏洞或恶意样本。
根据需要您可以执行以下操作：
- 搜索指定漏洞或恶意样本
  在搜索框选择漏洞修复紧急度（高、中、低）或恶意样本严重程度（紧急、可疑、提醒），输入实例ID、仓库名称、命名空间或摘要等，搜索指定漏洞或恶意样本。
- 查看漏洞或恶意样本详情
  单击漏洞或恶意样本名称，查看漏洞或恶意样本详情。在漏洞或恶意样本详情页面，您可以查看漏洞详情（包括漏洞编号、影响分、漏洞公告）或恶意样本详情（包括处理紧急程度、恶意样本MD5、最新扫描时间和首次扫描时间），以及受影响镜像的列表信息。
- 查看受影响镜像详情
  单击漏洞或恶意样本名称，进入漏洞或恶意样本详情页面后，单击需查看的镜像操作列下的详情。查看该镜像扫描出的漏洞或恶意样本的详细信息。

执行云平台配置检查

云平台配置检查功能为您检查云产品安全配置中的安全风险。云安全中心支持手动立即检查和周期性自动检查云平台配置是否存在风险。

登录云安全中心控制台。在左侧导航栏，选择风险管理 > 云平台配置检查。
在云平台配置检查页面，进行云平台配置检查。
- 手动检查
  如果您想立即了解云产品配置是否存在安全风险，您可以在云平台配置检查页面，单击立即扫描，对云产品配置进行全量检查。
- 自动检查
  您也可以设置自动检查，云安全中心会在您设置的时间执行云平台配置检查。
  1. 在云平台配置检查页面右上角，单击检查设置。
  2. 在检查设置面板，配置云平台配置检查的检查周期、检查时间以及选中要检查的风险检测项，单击确定。
说明
- 默认检查周期为周一到周日随机的某一天，您可以按业务需要自行设置检查周期。
- 对云产品配置进行全量检查需要一段时间，请耐心等待。

检查完成后，建议您及时关注并处理检测出的安全风险。具体操作，请参见云平台配置检查。

配置防暴力破解规则

云安全中心提供防暴力破解功能，支持配置自定义暴力破解防御规则。配置防暴力破解规则后，登录服务器时，在某个时间范围内登录服务器的失败次数超过限定次数将被禁止登录一段时间。防暴力破解功能，可有效防止您服务器账号的密码被暴力破解。

登录云安全中心控制台。在左侧导航栏，选择检测响应 > 安全告警处理。
在安全告警处理页面，单击右上角安全告警设置，并单击防暴力破解页签。
如果您是首次使用防暴力破解功能，您需要进行防暴力破解授权操作。
1. 将鼠标悬停在防暴力破解区域右侧的置灰管理上，在弹出的提示框中单击去授权。
2. 单击同意授权。
单击防暴力破解区域右侧的管理。
云安全中心的免费版、防病毒版用户需要升级到高级版以上的版本才能使用此功能。

在防暴力破解面板，配置防暴力破解规则。

云安全中心提供默认防暴力破解规则：同一服务器10分钟内登录失败次数超过80次，禁止登录6小时。您可以选择对应服务器，直接使用该默认防御规则。您也可以参考以下表格中的配置说明自定义防御规则。


配置项	说明
防御规则名称	设置防暴力破解自定义规则名称。
防御规则	设置防暴力破解的规则。即登录服务器时，在某个时间范围内登录服务器的失败次数超过限定次数将被禁止登录一段时间。例如：1分钟内登录失败次数超过3次，禁止登录30分钟。
设置为默认策略	设置该防御规则是否为默认策略。设置为默认策略后，未添加防御规则的服务器将默认应用该规则。说明选中设置为默认策略后，无论您是否在请选择对应的服务器中选择了服务器，当前策略都会对所有未添加防御规则的服务器生效。
请选择对应的服务器	设置防御规则生效的服务器。支持直接选择云安全中心防护的服务器，或根据服务器名称和IP筛选指定服务器。

单击确定。
重要每台服务器仅支持配置一个防暴力破解规则。
- 如果该规则中设置生效的服务器未配置其他任何防御规则，该防暴力破解规则添加成功。
- 如果该规则中设置生效的服务器已配置了其他防暴力破解规则，且您确定要更换为当前配置的规则，请在确认防御规则变更页面，单击确认。
- 如果原防暴力破解规则的生效服务器配置了新防御规则，则原防暴力破解规则的生效服务器数量会相应减少。

配置网页防篡改

网页防篡改功能可实时监控网站目录并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改。使用网页防篡改功能需要您预先购买防篡改授权数。相关内容，请参见开通服务。

登录云安全中心控制台。在左侧导航栏，选择防护配置 > 主机防护 > 网页防篡改。
在网页防篡改页面的防护管理页签下，单击为服务器添加防护。
在创建网页防篡改面板的服务器列表中，选中要开启网页防篡改防护的服务器，单击下一步。

配置网页防篡改防护规则，单击开启防护。

白名单模式

白名单模式下，防护目录下的已添加到防护规则中的防护文件类型被修改时，云安全中心会拦截或告警。


配置项	说明
防护目录	填写您要防御的服务器的目录。指定防御目录后，修改防御目录下的文件名称、内容或者文件属性时，云安全中心将根据进程白名单、防护模式，决定是否拦截。填写格式为：/目录名称/，例如：`/tmp/`。
防护文件类型	选择或输入您要防护的文件类型。您可以在下拉列表选择要防护的文件类型，也可以在此处手动输入下拉列表中未列出的文件类型。
防护模式	拦截模式：云安全中心会主动拦截异常进程、异常文件变动，确保您服务器网站和文件的安全。告警模式：云安全中心会对识别到的异常进程、异常文件变动进行告警。重要如果服务器操作系统和内核版本不在操作系统和内核版本限制范围内，告警模式将不生效，防护模式选择告警模式，云安全中心依然会拦截异常进程。
本地备份目录	防护目录的默认备份存储路径。安全中心为您指定的默认备份目录为`/usr/local/aegis/bak`（Linux服务器）和`C:\Program Files (x86)\Alibaba\Aegis\bak`（Windows服务器），您可手动修改默认的备份路径。

配置示例

例如：防护目录填写/tmp/、防护文件类型选择XML、防护模式选择拦截模式，则表示当tmp目录下XML格式的文件被修改时，云安全中心将会拦截该操作。

黑名单模式

黑名单模式下，防护目录下已添加到防护规则的子目录、文件类型、指定文件被修改时，不会告警或拦截；未添加到防护规则的子目录、文件类型、指定文件被修改时，将会告警或拦截。


配置项	说明
防护目录	填写您要防御的服务器的目录。指定防御目录后，修改防御目录下的文件名称、内容或者文件属性时，云安全中心将根据进程白名单、防护模式，决定是否拦截。填写格式为：/目录名称/，例如：`/tmp/`。
排除子目录	输入无需防护的子目录的路径。填写格式为：子目录名称/，例如：`dir1/dir0/`。
排除文件类型	选择或填写不需要防护的文件类型。
排除指定文件	输入不需要防护的文件。填写格式为：子目录名称/文件，例如：`dir2/file3`。
防护模式	拦截模式：云安全中心会主动拦截异常进程、异常文件变动，确保您服务器网站和文件的安全。告警模式：云安全中心会对识别到的异常进程、异常文件变动进行告警。重要如果服务器操作系统和内核版本不在操作系统和内核版本限制范围内，告警模式将不生效，防护模式选择告警模式，云安全中心依然会拦截异常进程。
本地备份目录	防护目录的默认备份存储路径。安全中心为您指定的默认备份目录为`/usr/local/aegis/bak`（Linux服务器）和`C:\Program Files (x86)\Alibaba\Aegis\bak`（Windows服务器），您可手动修改默认的备份路径。

重要排除子目录、排除文件类型和排除指定文件之间为或的关系。

配置示例

例如：防护目录填写/tmp/、排除子目录填写dir1/dir0/、排除文件类型选择txt、排除指定文件填写dir2/file3、防护模式选择拦截模式，则表示只有tmp目录下的dir1子目录下dir0子目录下的文件、txt（扩展名）类型的文件、或者dir2子目录下的file3文件可以被修改，tmp目录下的其他任何文件或者目录都无法被修改（修改操作将被云安全中心拦截）。

在网页防篡改页面的服务器列表中，定位到刚创建网页防篡改防护的服务器，单击防护状态列的

图标，为该服务器开启网页防篡改保护。

首次开启防护时，目标主机的服务状态列将会显示为启动中，并显示启动进度条。请耐心等待数秒，启动成功后服务状态将会显示为正在运行。

以下为服务状态的说明：


服务状态	说明	建议
启动中	网页防篡改防护服务正在开启。	首次开启防护时，目标主机的服务状态将会显示为启动中。请耐心等待数秒。
正在运行	防护状态已成功开启，服务正常运行中。	无
异常	防护开启异常。	将鼠标移动到目标服务器的服务状态上，查看发生异常的原因并单击重试。
未启动	防护状态为未开启。	需将防护状态设置为开启。

配置防勒索

云安全中心针对勒索病毒提供防御、告警和数据备份的能力，可预防勒索病毒入侵您的核心服务器。使用防勒索功能需要您预先购买防勒索容量。具体操作，请参见防勒索开通服务。

配置服务器防勒索策略

登录云安全中心控制台。在左侧导航栏，选择防护配置 > 主机防护 > 防勒索。
在防勒索页面的服务器防勒索页签下，单击创建防护策略。

在创建防护策略面板，配置防护策略，然后单击确定。


配置项	说明
策略名称	设置防护策略的名称。
服务器类型	选择防护策略生效的服务器是否为阿里云服务器。
选择资产	支持选中单台资产、跨组选中多台资产或者选中资产分组。执行以下操作选择需要防护的资产：在资产分组区域选择某一资产分组，系统将自动选择该分组下的所有资产。您可在右侧资产模块下，取消选中不需要的防护的资产。在资产模块下输入资产名称（支持模糊查询），单击搜索框的搜索按钮后会为您展示相关资产，您可选中需要防护的资产。说明选择资产时，阿里云服务器支持单个策略内配置多个地域的服务器，非阿里云服务器仅支持单个策略中配置同一地域的服务器。为保证您的防护容量得到合理和有效地利用，每台服务器只支持添加到一条防护策略中。
防护策略	支持选择以下策略：推荐策略选择推荐策略后，默认选择以下配置：防护目录：全部目录（排除系统目录）是否排除系统目录：排除排除指定目录：显示排除目录的列表防护文件类型：全部文件类型数据备份开始时间：00:00~03:00的任意时刻备份策略执行间隔：1天备份数据保留时间：7天备份网络带宽限制：0 MByte/s 说明 0 MByte/s代表不限制备份网络带宽。 VSS（Windows）：是说明该功能仅为Windows系统开启，开启后会有效降低因进程占用导致的个别文件备份失败的问题，建议开启。启用VSS后，将不支持exFAT和FAT32磁盘格式的文件备份。自定义策略选择自定义策略后，您需要自定义防护策略的防护目录、防护文件类型、数据备份开始时间、备份策略执行间隔、备份数据保留时间、备份网络带宽限制（MByte/s）等参数。
防护目录	选择需要进行备份的目录，支持选择以下类型：指定目录：即备份已选中资产的指定目录。您需要在防护目录地址文本框中输入需要备份的目录地址。防护目录地址最多可添加20条。全部目录：即备份已选中资产的全部目录。您需要在是否排除系统目录处选择不排除系统目录。说明为防止出现系统冲突，选择全部目录后，建议您在设置是否排除系统目录时选择不排除。
是否排除系统目录	选择备份或不备份的系统目录。当您排除下方的排除指定目录时，右侧文本框中会显示云安全中心默认支持不备份的所有系统目录，您可根据自己的业务需求进行删减。说明 Windows系统和Linux系统默认支持不备份的系统目录在持续更新中，具体以控制台排除指定目录右侧文本框中显示的系统目录为准。
防护文件类型	选择需要进行防护的文件类型，支持选择以下类型：全部文件类型：即针对所有类型的文件进行备份防护。指定文件类型：即针对指定文件进行备份防护。支持选择以下文件类型：文档类图片类压缩包类数据库类音频视频类脚本代码类重要仅在防护文件类型选择指定文件类型时需要配置该参数。支持同时选中多个文件类型。云安全中心仅防护您资产中此处选中类型的文件。
数据备份开始时间	设置数据备份开始时间。重要防护策略创建后，初次进行数据备份时由于要全量备份防护目录下的数据，会消耗一定量的CPU和内存资源。为避免对您的业务造成影响，建议您选择业务量较小的时段进行数据备份。
备份策略执行间隔	设置备份策略执行间隔，默认为1天。支持选择以下时间： 0.5天 1天 3天 7天
备份数据保留时间	设置备份数据保留时间，默认为7天。重要超过备份数据保留时间后，备份数据会自动清理，建议您根据业务需求合理设置备份数据保留时间。支持选择以下保存方式：永久保存自定义说明自定义保存天数，最小可设置1天，最大支持设置65535天。
备份网络带宽限制（MByte/s）	受防勒索保护的备份数据占用的带宽流量阈值。可以设置的范围：1 MByte/s~不限流量。重要 ECS服务器仅占用内网带宽，不影响外网带宽。建议您根据服务器的带宽，设置合理的流量阈值，避免备份占用过多带宽对您业务产生影响。
VSS（Windows）	VSS功能可以用来维护文件变更历史记录、审核追踪日志以及恢复源代码文件。该功能仅为Windows系统的服务器开启。开启后能有效降低因进程占用导致的个别文件备份失败问题。可选项：是：开启该功能。否：关闭该功能。

创建防护策略后，策略状态默认为开启状态。云安全中心将自动在您的服务器上安装防勒索客户端，并根据防护策略中设置的备份条件对生效服务器的防护目录进行数据备份。

配置数据库防勒索策略

登录云安全中心控制台。在左侧导航栏，选择防护配置 > 主机防护 > 防勒索。
在防勒索页面的数据库防勒索页签，单击创建防护策略。

在数据库防护策略面板，为数据库创建防护策略。

配置您要防护的数据库的信息，然后单击下一步。


配置项	说明
策略名称	设置防护策略的名称。
类型	选择添加数据库的方式。取值：自动识别数据库系统会自动识别出您服务器上已安装的数据库。建议您使用此功能快速选择您要防护的数据库。手动录入数据库如果使用自动识别数据库功能未能找到您要防护的数据库，您可以使用此功能，手动录入要防护的数据库。
数据库	选择您要防护的数据库或者数据库所在的服务器实例。
数据库类型	选择添加的数据库的类型。仅选择手动录入数据库时需要设置此项。取值： MYSQL ORACLE MSSQL
账号	输入待添加的数据库账号，该账号必须有该数据库的备份权限。Oracle数据库无需输入账号和密码。重要请输入已选择的数据库的账号和密码，而非服务器的账号和密码。
密码	输入数据库账号的密码。

配置数据库防护策略的信息，然后单击完成。


配置项	说明
防护策略	您可单击使用推荐策略，直接使用云安全中心提供的推荐策略。如果推荐策略不符合您的业务需求，您可对推荐策略稍作修改，使其更符合您业务需求。
全量备份策略	配置全量备份的间隔周期、周中执行日期和备份开始时间。全量备份指对某一时间点上数据库中的所有数据进行备份。全量备份所需的防勒索容量较多、备份的时间较长。
增量备份策略	配置增量备份的间隔周期和备份开始时间。增量备份是指在一次全备份或上一次增量备份后，备份与前一次相比增加或者有变化的数据。增量备份没有重复的备份数据，因此备份所需的防勒索容量较少，备份的时间较短。
备份数据保留时间	选择备份保留的时间。
备份网络带宽限制	设置备份时的网络带宽。设置为0表示不限制带宽。

数据库的勒索防护策略创建后，云安全中心将自动在您的服务器上安装防勒索客户端，此时该防护策略进入初始化中状态。客户端安装完成后，云安全中心将根据防护策略中设置的备份策略对数据库进行数据备份。

开启病毒防御检查

登录云安全中心控制台。在左侧导航栏选择防护配置 > 主机防护 > 病毒防御。
在病毒防御页面，进行病毒扫描。
- 立即扫描
  1. 在病毒防御页面，单击开始病毒扫描或重新扫描。
  2. 在请选择您要扫描的资产对话框，选择需要扫描的资产，然后单击开始扫描。
    
    说明扫描完成预计需要2~5分钟，请您耐心等待。
- 设置周期性扫描
  1. 在病毒防御页面，单击右上角扫描设置。
  2. 在防御配置面板，设置扫描病毒的周期、方式和要扫描的资产，然后单击确定。
    云安全中心会按照您设置的扫描周期、方式对要扫描的资产执行自动扫描病毒。