本文介绍账号安全的告警规则。通过设置并开启告警规则,可及时触发告警,有助于您快速发现账号安全相关问题。
告警规则列表
支持的告警规则列表如下所示。设置告警参数、设置白名单等相关操作,请参见管理告警规则。
RAM子账号无MFA登录告警
告警ID | sls_app_audit_cis_at_ram_mfa |
告警名称 | RAM子账号无MFA登录告警 |
版本号 | 1 |
类别 | 云平台、阿里云、CIS、账号安全 |
作用 | 监控RAM用户无MFA(多登录因素验证)登录的行为。RAM用户登录控制台时需要开启MFA,且其登录次数小于等于规则参数配置中设定最大登录次数,否则会触发告警。 |
执行频率 | 固定时间间隔:4分钟 |
查询范围 | 过去5分钟 |
参数配置 |
|
外部配置 | 无MFA登录的RAM用户白名单。白名单中RAM用户无MFA登录行为不会触发该告警。 |
消除方法 | 确保RAM用户5分钟内无MFA登录次数小于等于规则参数配置中设定的最大登录次数。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)
RAM密码过期策略异常设置告警
告警ID | sls_app_audit_cis_at_pwd_expire_policy |
告警名称 | RAM密码过期策略异常设置告警 |
版本号 | 1 |
类别 | 云平台、阿里云、CIS、账号安全 |
作用 | 监控RAM密码策略中的密码过期策略的设置是否正常。RAM密码策略中,RAM密码的有效期应该小于等于规则参数中设定的密码有效期最大值,否则会触发告警。 |
执行频率 | 固定时间间隔:5分钟 |
查询范围 | 过去5分钟 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 确保RAM密码策略中密码有效期的值小于等于规则参数配置中设定的密码有效期最大值。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)
Root账号无MFA登录告警
告警ID | sls_app_audit_cis_at_root_mfa |
告警名称 | Root账号无MFA登录告警 |
版本号 | 1 |
类别 | 云平台、阿里云、CIS、账号安全 |
作用 | 监控Root账号无MFA(多登录因素验证)登录的行为。Root账号登录控制台时需要开启MFA,且其登录次数小于等于规则参数配置中设定的最大登录次数,否则会触发告警。 |
执行频率 | 固定时间间隔:4分钟 |
查询范围 | 过去5分钟 |
参数配置 |
|
外部配置 | 无MFA登录的Root账号白名单。白名单中的账号无MFA登录行为不会触发该告警。 |
消除方法 | 确保Root账号5分钟内无MFA登录次数小于等于规则参数配置中设定的最大登录次数。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)
RAM密码登录重试策略异常设置告警
告警ID | sls_app_audit_cis_at_pwd_login_attemp_policy |
告警名称 | RAM密码登录重试策略异常设置告警 |
版本号 | 1 |
类别 | 云平台、阿里云、CIS、账号安全 |
作用 | 监控RAM密码策略中的登录重试策略的设置是否正常。RAM密码登录重试策略中,允许一小时内使用错误密码尝试登录次数不能大于规则参数中设定的最大登录失败次数/h,否则会触发告警。 |
执行频率 | 固定时间间隔:5分钟 |
查询范围 | 过去5分钟 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 确保RAM密码登录重试策略中,允许一小时内最大连续失败登录次数的值小于等于规则参数配置中设定的最大登录失败次数/h。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)
Root账户连续登录告警
告警ID | sls_app_audit_cis_at_root_login |
告警名称 | Root账户连续登录告警 |
版本号 | 1 |
类别 | 云平台、阿里云、CIS、账号安全 |
作用 | 监控Root账号的连续登录行为。Root用户登录不能过于频繁,5分钟内登录次数超过规则参数中设定的最大登录次数会触发告警。 |
执行频率 | 固定时间间隔:5分钟 |
查询范围 | 过去5分钟 |
参数配置 |
|
外部配置 | Root账号登录白名单。白名单中账号的登录行为不会触发告警。 |
消除方法 | 确保Root账号每天登录次数小于等于规则参数配置中设定的最大登录次数。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)
RAM历史密码检查策略异常设置告警
告警ID | sls_app_audit_cis_at_pwd_reuse_policy |
告警名称 | RAM历史密码检查策略异常设置告警 |
版本号 | 1 |
类别 | 云平台、阿里云、CIS、账号安全 |
作用 | 监控RAM密码策略中的历史密码检查策略的设置是否正常。RAM历史密码检查策略中,禁止使用前N次密码。可在告警规则参数中配置N的最小值,小于该值会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 确保RAM历史密码检查策略禁止使用前N次密码中N的值大于等于规则参数配置中设定密码重用最小值。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)
密钥配置变更告警
告警ID | sls_app_audit_cis_at_ak_conf_change |
告警名称 | 密钥配置变更告警 |
版本号 | 1 |
类别 | 云平台、阿里云、CIS、账号安全 |
作用 | 监控账号密钥配置变更事件。账号密钥的配置发生变更后(如删除或禁用等)会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 | 严重度:严重、高、中、低、报告。默认值为高。 |
外部配置 | 允许进行密钥配置变更的RAM用户白名单。使用白名单中的RAM用户进行密钥配置变更不会触发告警。 |
消除方法 | 禁止使用白名单以外的账号进行账号密钥配置变更。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)
账号连续登录失败告警
告警ID | sls_app_audit_cis_at_abnormal_login_count |
告警名称 | 账号连续登录失败告警 |
版本号 | 1 |
类别 | 云平台、阿里云、CIS、账号安全 |
作用 | 监控连续登录失败行为。5分钟内连续失败登录次数大于规则参数中设定的最大失败登录次数后触发告警。 |
执行频率 | 固定时间间隔:4分钟 |
查询范围 | 过去5分钟 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 确保账号5分钟内的失败登录次数小于等于规则参数配置中设定的最大失败登录次数。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)
Root账号AK使用检测
告警ID | sls_app_audit_cis_at_root_ak_usage |
告警名称 | Root账号AK使用检测 |
版本号 | 1 |
类别 | 云平台、阿里云、CIS、账号安全 |
作用 | 监控Root账号的密钥(AccessKey)使用行为。Root账号不应该创建和使用AccessKey密钥,否则会触发告警。 |
执行频率 | 固定时间间隔:1分钟 |
查询范围 | 过去2分钟 |
参数配置 | 严重度:严重、高、中、低、报告。默认值为高。 |
外部配置 | Root账号密钥使用白名单。使用白名单中的Root账号密钥不会触发告警。 |
消除方法 | 确保Root账号密钥不被使用。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)
RAM密码长度策略异常设置告警
告警ID | sls_app_audit_cis_at_pwd_length_policy |
告警名称 | RAM密码长度策略异常设置告警 |
版本号 | 1 |
类别 | 云平台、阿里云、CIS、账号安全 |
作用 | 监控RAM密码策略中的密码长度策略的设置是否正常。RAM密码策略中,RAM密码的最小长度不能小于规则参数中设定的密码最小长度,否则会触发告警。 |
执行频率 | 固定时间间隔:5分钟 |
查询范围 | 过去5分钟 |
参数配置 |
|
外部配置 | 无 |
消除方法 | 确保RAM密码策略中设置的密码最小长度大于等于规则参数配置中设定密码最小长度。 |
前提条件 | 确保已在日志审计服务中的操作日志的开关。 | 中打开操作审计(ActionTrail)