文档

主机防护设置

更新时间:

云安全中心提供了恶意主机行为防御、防勒索、网站后门连接防御等安全能力,您可以通过设置相应的安全能力为您的服务器开启安全防护。本文介绍主机防护设置支持的功能及如何设置相应功能。

主动防御

功能介绍

云安全中心的主动防御能力为您自动拦截常见病毒、恶意网络连接和网站后门连接,并设置诱饵捕获勒索病毒。以下表格是各功能的详细介绍。

功能

支持的版本

描述

恶意主机行为防御

防病毒版高级版企业版旗舰版

恶意主机行为防御功能能够自动拦截并查杀常见网络病毒,包括主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等。

购买云安全中心防病毒版及以上版本后,云安全中心默认开启恶意主机行为防御功能,并将您所有服务器添加到该功能的检测范围内。

不同云安全中心版本的功能差异

  • 防病毒版支持自动阻断常见病毒,例如木马、挖矿等。

  • 高级版企业版旗舰版具备更加完善的防御能力,能够有效拦截ATT&CK框架中流行的攻击场景,支持拦截常见服务应用的大规模入侵事件,阻断流行勒索软件加密行为,同时支持自定义规则,为主机提供安全防护。自定义防御规则的更多信息,请参见恶意行为防御

说明

感染型病毒是一类高级恶意程序,由病毒本体将恶意代码写入正常程序文件执行,因此往往有大量原本正常程序被感染后作为宿体被检出。感染型病毒可能会危害系统进程,终止系统进程会造成系统稳定性风险。因此云安全中心不会自动隔离感染型病毒,您需要手动处理此类病毒。

防勒索(诱饵捕获)

防病毒版高级版企业版旗舰版

防勒索(诱饵捕获)提供了捕捉新型勒索病毒的诱饵,并通过病毒行为分析,自动启动新型勒索病毒的防御。

云安全中心在您服务器中设置的勒索捕获诱饵文件仅用于捕获新型勒索病毒,不会对您的业务产生任何影响,请您放心使用该功能。您可以在安全告警处理页面,将告警类型设置为精准防御,查看云安全中心为您查杀的防勒索病毒。

网站后门连接防御

企业版旗舰版

开启该功能后,云安全中心会自动拦截黑客通过已知网站后门进行的异常连接行为,并隔离相关文件。您可以在安全告警处理页面查看相应告警和被隔离的文件。更多信息,请参见查看和处理安全告警查看和恢复隔离文件

说明

您购买了企业版旗舰版后,云安全中心默认为您开启网站后门连接防御功能,并将您的所有服务器添加到网站后门连接防御的检测范围内。

恶意网络行为防御

企业版旗舰版

开启该功能后,云安全中心将拦截您的服务器和已披露的恶意访问源之间的网络行为,为您的服务器增强安全防护。

主动防御体验优化

企业版旗舰版

开启该功能后,如果服务器异常关机或安全防御能力缺失时,云安全中心将采集服务器Kdump数据进行安全防护分析,不断提升云安全中心的安全防御能力。

说明

如果您主动防御区域的所有功能都为关闭状态,云安全中心将以安全告警的形式向您展示在您服务器上检测出的病毒,您需要在控制台手动处理病毒相关告警。建议您开启主动防御区域所有的功能,加固服务器安全防线。处理安全告警的具体操作,请参见查看和处理安全告警

开启防御能力

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择系统配置 > 功能设置

  3. 选择设置 > 主机防护设置 页签,在主动防御区域打开恶意主机行为防御防勒索(诱饵捕获)网站后门连接防御恶意网络行为防御开关。

    打开主动防御区域的所有开关后,云安全中心将从恶意主机防御行为、防勒索、防网站后门异常连接和防恶意源访问等多方位为您的服务器提供安全防护。

  4. 单击主动防御类型右侧的管理,选择拦截病毒或恶意行为生效的服务器范围,然后单击确定

    开启恶意主机行为防御防勒索(诱饵捕获)网站后门连接防御恶意网络行为防御服务后,云安全中心将自动拦截病毒运行的相关程序、进程等,同时阻断异常连接。

  5. (可选)选中主动防御体验优化复选框。

    选中主动防御体验优化有助于云安全中心获取服务器异常情况下安全防护数据,为您提升安全防护能力。建议选中该项。

后续步骤

安全告警处理页面精准防御类型告警列表中,查看被主动防御功能自动拦截的病毒。您需要将搜索条件置为已处理,并且告警类型选择精准防御精准防御

说明

开通主动防御的恶意主机行为防御防勒索(诱饵捕获)网站后门连接防御功能后,可能会存在部分程序误报或未隔离成功的情况。

  • 部分误报导致文件被隔离时,您可以从文件隔离箱中恢复被误隔离的文件。具体内容请参见查看和恢复隔离文件

  • 未隔离成功的事件可以在安全告警处理页面手动隔离。具体操作,请参见查看和处理安全告警

网站后门查杀

网站后门查杀功能使用自主查杀引擎检测网站服务器、网页目录中的网站后门及木马程序,采用周期性静态检测和动态检测相结合的检测机制,并提供一键手动隔离功能。只有服务器开启网站后门查杀检测后,云安全中心客户端才会执行网站后门检测。以下是检测和处理能力的说明:

  • 每日凌晨扫描整个Web目录进行静态检测;Web目录文件发生变动时会触发动态检测。

  • 支持配置网站后门检测的资产范围置。

  • 支持隔离、恢复和忽略发现的Webshell文件。

说明

免费版仅支持部分类型WebShell检测,云安全中心其他付费版本支持所有类型的WebShell检测。如需较全面的WebShell检测,建议您升级到防病毒版高级版企业版旗舰版。升级的具体操作,请参见升级与降配

配置网站后门查杀检测开关

云安全中心默认为所有已安装云安全中心客户端的服务器开启网站后门查杀检测。建议您为所有对外提供Web服务的服务器开启网站后门查杀检测。如果您的服务器处于完全封闭的内网,您可以参考下述步骤为对应服务器关闭网站后门查杀。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择系统配置 > 功能设置

  3. 选择设置 > 主机防护设置 页签,在网站后门查杀区域单击管理

  4. 网站后门查杀范围面板,取消选中需关闭网站后门查杀的服务器,并单击确定

处理网站后门查杀告警

为服务器开启网站后门查杀后,当云安全中心检测到您的服务器中存在后门Webshell文件等安全威胁时,会在安全告警处理页面为您展示相应告警。您可以前往安全告警处理页面查看并处理告警类型为网站后门的告警。未处理的网站后门告警可能会对您的资产安全造成严重威胁,建议您及时处理此类告警。

说明

不支持云安全中心免费版用户一键处理网站后门告警,防病毒版及以上版本用户可在控制台一键隔离检测出问题的Webshell文件。具体操作,请参见查看和处理安全告警

image

自适应威胁检测能力

自适应威胁检测能力默认为关闭状态,您需要手动开启该功能。开启该功能后,如果云安全中心在您的服务器中检测到高危风险(即高危告警),会自动为您的服务器客户端开启期限为7天的严格告警模式。严格告警模式开启所有安全防护规则和安全引擎,会对任何可疑的入侵行为和潜在的威胁进行告警,可以更全面地检测黑客的入侵行为。

说明

云安全中心自动为您的服务器开启了期限为7天的严格告警模式时,如果您在这7天中,手动设置了该服务器的防护模式,7天到期后云安全中心将不会自动为该服务器关闭严格告警模式,该服务器会一直保持您手动设置的防护模式。

版本限制

仅云安全中心的企业版和旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

开启自适应威胁检测能力

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择系统配置 > 功能设置

  3. 选择设置 > 主机防护设置 页签,在自适应威胁检测能力区域打开动态自适应威胁检测开关。

    说明

    如果您之前未授权云安全中心访问您的云资源,您需要先根据页面提示完成授权操作。该操作是授权云安全中心访问您的云资源。授权成功后,访问控制服务会自动创建服务关联AliyunServiceRoleForSas,云安全中心使用此角色访问您其他产品中的云资源,为其他云资源提供安全防护。更多信息,请参见云安全中心服务关联角色

告警设置

云安全中心针对服务器告警提供了不同的告警模式,可以满足您不同应用场景下的安全需求。云安全中心默认为所有已接入的服务器开启均衡模式,该模式下,经过阿里云专家的综合测试情况,会在保障较少误报的情况下检测出更多可疑风险。

修改告警模式

如果您需要对服务器进行更严格检测,您可以将服务器告警模式修改为严格模式

重要

严格模式下,阿里云会检测出更多的可疑行为告警,但会存在一定的误报风险,建议在重保期间谨慎使用。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择系统配置 > 功能设置

  3. 选择设置 > 主机防护设置 页签,在告警设置区域单击严格模式右侧的管理

  4. 选择需要加入严格模式的服务器,然后单击确定

相关文档

  • 如果您需要为不同服务器制定不同的主机恶意行为御规则,您可以使用云安全中心恶意行为防御功能。更多信息,请参见主机规则管理

  • 查看和处理安全告警的具体操作,请参见查看和处理安全告警