本文介绍账号安全的告警规则。通过设置并开启告警规则,可及时触发告警,有助于您快速发现账号安全相关问题。

告警规则列表

RAM子账号无MFA登录告警

告警ID sls_app_audit_cis_at_ram_mfa
告警名称 RAM子账号无MFA登录告警
版本号 1
类别 云平台、阿里云、CIS、账号安全
作用 监控RAM用户无MFA(多登录因素验证)登录的行为。RAM用户登录控制台时需要开启MFA,且其登录次数小于等于规则参数配置中设定最大登录次数,否则会触发告警。
执行频率 固定时间间隔:4分钟
查询范围 过去5分钟
参数配置
  • 严重度:严重、高、中、低、报告。默认值为中。
  • 最大登录次数:每5分钟内,允许未开启MFA的RAM用户登录的最大次数。默认值为0。
外部配置 无MFA登录的RAM用户白名单。白名单中RAM用户无MFA登录行为不会触发该告警。
消除方法 确保RAM用户5分钟内无MFA登录次数小于等于规则参数配置中设定的最大登录次数
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开操作审计(ActionTrail)操作日志的开关。

RAM密码过期策略异常设置告警

告警ID sls_app_audit_cis_at_pwd_expire_policy
告警名称 RAM密码过期策略异常设置告警
版本号 1
类别 云平台、阿里云、CIS、账号安全
作用 监控RAM密码策略中的密码过期策略的设置是否正常。RAM密码策略中,RAM密码的有效期应该小于等于规则参数中设定的密码有效期最大值,否则会触发告警。
执行频率 固定时间间隔:5分钟
查询范围 过去5分钟
参数配置
  • 严重度:严重、高、中、低、报告。默认值为中。
  • 密码有效期最大值:默认值为90天。根据阿里云CIS规则,该值建议设置为小于等于90。
外部配置
消除方法 确保RAM密码策略中密码有效期的值小于等于规则参数配置中设定的密码有效期最大值
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开操作审计(ActionTrail)操作日志的开关。

Root账号无MFA登录告警

告警ID sls_app_audit_cis_at_root_mfa
告警名称 Root账号无MFA登录告警
版本号 1
类别 云平台、阿里云、CIS、账号安全
作用 监控Root账号无MFA(多登录因素验证)登录的行为。Root账号登录控制台时需要开启MFA,且其登录次数小于等于规则参数配置中设定的最大登录次数,否则会触发告警。
执行频率 固定时间间隔:4分钟
查询范围 过去5分钟
参数配置
  • 严重度:严重、高、中、低、报告。默认值为中。
  • 最大登录次数:Root账号每天未开启MFA登录的最大次数,默认值0。
外部配置 无MFA登录的Root账号白名单。白名单中的账号无MFA登录行为不会触发该告警。
消除方法 确保Root账号5分钟内无MFA登录次数小于等于规则参数配置中设定的最大登录次数
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开操作审计(ActionTrail)操作日志的开关。

RAM密码登录重试策略异常设置告警

告警ID sls_app_audit_cis_at_pwd_login_attemp_policy
告警名称 RAM密码登录重试策略异常设置告警
版本号 1
类别 云平台、阿里云、CIS、账号安全
作用 监控RAM密码策略中的登录重试策略的设置是否正常。RAM密码登录重试策略中,允许一小时内使用错误密码尝试登录次数不能大于规则参数中设定的最大登录失败次数/h,否则会触发告警。
执行频率 固定时间间隔:5分钟
查询范围 过去5分钟
参数配置
  • 严重度:严重、高、中、低、报告。默认值为中。
  • 最大登录失败次数/h:密码登录重试策略中,允许一小时内使用错误密码尝试登录次数的最大值。默认值为5。根据阿里云CIS规则,该值建议设置为5。
外部配置
消除方法 确保RAM密码登录重试策略中,允许一小时内最大连续失败登录次数的值小于等于规则参数配置中设定的最大登录失败次数/h
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开操作审计(ActionTrail)操作日志的开关。

Root账户连续登录告警

告警ID sls_app_audit_cis_at_root_login
告警名称 Root账户连续登录告警
版本号 1
类别 云平台、阿里云、CIS、账号安全
作用 监控Root账号的连续登录行为。Root用户登录不能过于频繁,5分钟内登录次数超过规则参数中设定的最大登录次数会触发告警。
执行频率 固定时间间隔:5分钟
查询范围 过去5分钟
参数配置
  • 严重度:严重、高、中、低、报告。默认值为中。
  • 最大登录次数:Root账号5分钟内的最大登录次数,默认值为2。
外部配置 Root账号登录白名单。白名单中账号的登录行为不会触发告警。
消除方法 确保Root账号每天登录次数小于等于规则参数配置中设定的最大登录次数
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开操作审计(ActionTrail)操作日志的开关。

RAM历史密码检查策略异常设置告警

告警ID sls_app_audit_cis_at_pwd_reuse_policy
告警名称 RAM历史密码检查策略异常设置告警
版本号 1
类别 云平台、阿里云、CIS、账号安全
作用 监控RAM密码策略中的历史密码检查策略的设置是否正常。RAM历史密码检查策略中,禁止使用前N次密码。可在告警规则参数中配置N的最小值,小于该值会触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置
  • 严重度:严重、高、中、低、报告。默认值为高。
  • 密码重用最小值:历史密码检查策略中,禁止使用前N次密码中N的最小值。默认值为4。根据阿里云CIS规则,该值建议设为4。
外部配置
消除方法 确保RAM历史密码检查策略禁止使用前N次密码中N的值大于等于规则参数配置中设定密码重用最小值
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开操作审计(ActionTrail)操作日志的开关。

密钥配置变更告警

告警ID sls_app_audit_cis_at_ak_conf_change
告警名称 密钥配置变更告警
版本号 1
类别 云平台、阿里云、CIS、账号安全
作用 监控账号密钥配置变更事件。账号密钥的配置发生变更后(如删除或禁用等)会触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 严重度:严重、高、中、低、报告。默认值为高。
外部配置 允许进行密钥配置变更的RAM用户白名单。使用白名单中的RAM用户进行密钥配置变更不会触发告警。
消除方法 禁止使用白名单以外的账号进行账号密钥配置变更。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开操作审计(ActionTrail)操作日志的开关。

账号连续登录失败告警

告警ID sls_app_audit_cis_at_abnormal_login_count
告警名称 账号连续登录失败告警
版本号 1
类别 云平台、阿里云、CIS、账号安全
作用 监控连续登录失败行为。5分钟内连续失败登录次数大于规则参数中设定的最大失败登录次数后触发告警。
执行频率 固定时间间隔:4分钟
查询范围 过去5分钟
参数配置
  • 严重度:严重、高、中、低、报告。默认值为高。
  • 最大失败登录次数:一个账号5分钟内的失败登录最大次数,默认值为5。
外部配置
消除方法 确保账号5分钟内的失败登录次数小于等于规则参数配置中设定的最大失败登录次数
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开操作审计(ActionTrail)操作日志的开关。

Root账号AK使用检测

告警ID sls_app_audit_cis_at_root_ak_usage
告警名称 Root账号AK使用检测
版本号 1
类别 云平台、阿里云、CIS、账号安全
作用 监控Root账号的密钥(AccessKey)使用行为。Root账号不应该创建和使用AccessKey密钥,否则会触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 严重度:严重、高、中、低、报告。默认值为高。
外部配置 Root账号密钥使用白名单。使用白名单中的Root账号密钥不会触发告警。
消除方法 确保Root账号密钥不被使用。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开操作审计(ActionTrail)操作日志的开关。

RAM密码长度策略异常设置告警

告警ID sls_app_audit_cis_at_pwd_length_policy
告警名称 RAM密码长度策略异常设置告警
版本号 1
类别 云平台、阿里云、CIS、账号安全
作用 监控RAM密码策略中的密码长度策略的设置是否正常。RAM密码策略中,RAM密码的最小长度不能小于规则参数中设定的密码最小长度,否则会触发告警。
执行频率 固定时间间隔:5分钟
查询范围 过去5分钟
参数配置
  • 严重度:严重、高、中、低、报告。默认值为高。
  • 密码最小长度:密码策略中的密码最小长度的最小值。默认值为14。根据阿里云CIS规则,该值建议设置为14。
外部配置
消除方法 确保RAM密码策略中设置的密码最小长度大于等于规则参数配置中设定密码最小长度
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开操作审计(ActionTrail)操作日志的开关。