云安全中心支持实时检测您资产中的安全告警事件,覆盖网页防篡改、进程异常、网站后门、异常登录、恶意进程等安全告警类型。通过250+威胁检测模型,提供全面的安全告警类型检测,帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。

安全告警事件是指云安全中心检测到的您服务器或者云产品中存在的威胁,这些威胁可以是某个恶意IP对您资产进行的攻击,也可以是您资产中已被入侵的异常情况,例如您的主机在执行恶意脚本或访问恶意下载源等。

您可以在威胁检测 > 安全告警处理页面查看您资产中检测出的安全告警事件。

云安全中心支持检测的所有安全告警事件类型的更多信息,请参见安全告警类型列表

说明
  • 应用白名单和网页防篡改告警类型以外,云安全中心默认为用户开启所购买版本支持的防御能力。如需开通网页防篡改等防御能力,需升级到仅采购增值服务、防病毒版、高级版、企业版或旗舰版。升级的具体操作,请参见升级与降配
  • 应用白名单和网页防篡改是云安全中心的增值服务。应用白名单需要申请才能开启,更多信息,请参见应用白名单网页防篡改需要您单独购买并开通后才会开启。网页防篡改为仅采购增值服务、防病毒版、高级版、企业版和旗舰版功能,免费版不支持该功能。开通网页防篡改的具体操作,请参见网页防篡改开通服务
  • 云产品威胁检测为企业版和旗舰版功能,企业版和旗舰版自动开启防御;免费版、防病毒版、高级版需要升级至企业版或旗舰版后才能自动开启防御。

威胁检测模型介绍

云安全中心通过250+威胁检测模型为您提供全面的威胁检测能力。您可以在安全告警处理页面,单击左上角威胁检测模型图标图标,查看云安全中心为您提供的威胁检测模型。威胁检测从攻击入口、载荷投递、权限提升、逃避检测等10个阶段,为您提供全链路的云上威胁检测,让风险无处遁形。

安全告警统计数据介绍

云安全中心可对您已开启的告警防御能力提供总览数据,帮助您快速了解安全告警概况、已开启和未开启的防御项目。您可在云安全中心控制台安全告警处理页面,查看安全告警和已开启的防御项目的统计信息。

已开启防御和未开启防御的项目
下表详细介绍了安全告警处理页面的统计数据。
统计项 解释 相关操作
存在告警的服务器 展示您资产中存在告警的服务器数量。

单击相应数值,可跳转到资产中心页面的服务器列表。该列表展示了已检测出安全告警的服务器的详细信息。

待处理告警总数 展示您资产中未处理告警的总数量。

安全告警处理页面,您可以查看默认展示的所有待处理告警信息。更多信息,请参见查看和处理告警事件

急需处理的告警 展示您资产中风险等级为紧急的待处理告警事件的数量。

单击相应数值,自动为您筛选出对应的告警事件,方便您集中查看和处理风险等级为紧急的告警事件信息。

云安全中心对安全告警风险等级的分类如下:
  • 紧急:即高危风险,表示您的服务器中检测到了入侵事件(例如反弹Shell等),建议您立即查看告警事件的详情并及时进行处理。
  • 可疑:即中危风险,表示服务器中检测到了可疑的异常事件(例如可疑CMD命令序列等),建议您查看该告警事件、判断是否存在风险并进行相应处理。
  • 提醒:即低危风险,表示服务器中检测到了低危的异常事件(例如可疑端口监听等),建议您及时查看该告警事件的详情。
说明 建议您优先处理紧急状态的告警事件。
精准防御 展示您资产中被病毒查杀功能自动隔离的病毒告警的数量。 单击相应数值,自动为您筛选出对应的告警事件,方便您集中查看被病毒查杀功能自动隔离的所有病毒告警信息。
说明 病毒被自动隔离表示云安全中心已成功拦截该病毒,无需您手动进行处理。
生效IP拦截策略/全部策略
  • 生效IP拦截策略:展示启用防暴力破解规则后拦截的记录数量。
  • 全部策略:展示云安全中心所有的防暴力破解规则拦截的记录数量。
单击相应数值,自动展开IP规则策略库面板,方便您集中查看已启用或全部的IP拦截策略。IP拦截策略的更多信息,请参见设置IP拦截策略
已隔离文件数 展示云安全中心对安全告警事件进行隔离处理后,隔离威胁文件的数量。 单击相应数值,自动展开文件隔离箱面板,方便您集中查看被隔离的文件信息。病毒样本文件被隔离后,将无法对业务产生危害。更多信息,请参见文件隔离箱

安全告警类型列表

2018年12月20日起,云安全中心免费版只支持异常登录和其他-DDoS类型安全告警。如果您需要启用更多高级威胁检测能力,需开通云安全中心付费版。云安全中心各个版本可检测的告警类型差异,请参见功能特性

如果您想了解云安全中心支持的告警类型涉及的具体检测项,以及对应的检测原理,请参见安全告警检测项

下表介绍了云安全中心支持检测的所有告警类型。

告警名称 告警说明
网页防篡改 实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。可检测以下子项:
  • 异常文件添加
  • 异常文件修改
  • 异常文件删除
说明 网页防篡改是云安全中心的增值服务,需要您单独购买开通后才会开启网页防篡改的防御。网页防篡改为防病毒版高级版企业版旗舰版功能,基础版不支持该功能。更多信息,请参见网页防篡改概述
进程异常行为 检测资产中是否存在超出正常执行流程的行为,包括以下子项:
  • Linux系统计划任务配置文件写入
  • Linux计划任务文件异常篡改
  • Linux可疑命令执行
  • 反弹Shell(详细信息,请参见云安全中心反弹Shell多维检测技术详解。)
  • Python应用执行异常指令
  • 利用Windows系统文件加载恶意代码
  • Windows调用mshta执行html内嵌脚本指令
  • 创建异常Windows计划任务
  • Windows regsvr32.exe执行异常指令
  • 访问恶意下载源
  • 可疑注册表配置项篡改
  • 异常调用系统工具
  • 执行恶意命令
  • 可疑特权容器启动
  • 启动项异常修改
网站后门 使用自主查杀引擎检测常见后门文件,支持定期查杀和实时防护,并提供一键隔离功能。
  • Web目录中文件发生变动会触发动态检测,每日凌晨扫描整个Web目录进行静态检测。
  • 支持针对网站后门检测的资产范围配置。
  • 对发现的木马文件支持隔离、恢复和忽略。
说明 基础版仅支持部分类型Webshell检测,云安全中心其他版本支持所有类型的WebShell检测。如果您需要执行所有类型的WebShell检测,建议您升级到防病毒版高级版企业版旗舰版。升级的具体操作,请参见升级与降配
异常登录 检测服务器上的异常登录行为。通过设置合法登录IP、时间及账号,对于例外的登录行为进行告警。支持手动添加和自动更新常用登录地,对指定资产的异地登录行为进行告警。

可检测以下子项:

  • ECS非合法IP登录
  • ECS在非常用地登录
  • ECS登录后执行异常指令序列(SSH)
  • ECS被暴力破解成功(SSH)
更多信息,请参见云安全中心检测和告警异常登录功能的原理
异常事件 检测程序运行过程中发生的异常行为。
敏感文件篡改 检测是否存在对服务器中的敏感文件进行恶意修改,包含Linux共享库文件预加载配置文件的可疑篡改等行为。
恶意进程(病毒云查杀) 采用云+端的查杀机制,对服务器进行实时检测,并对检测到的病毒文件提供实时告警。您可通过云安全中心控制台对病毒程序进行处理。

可检测以下子项:

  • 访问恶意IP
  • 挖矿程序
  • 自变异木马
  • 恶意程序
  • 木马程序
更多信息,请参见病毒云查杀
异常网络连接 检测网络显示断开或不正常的网络连接状态。

可检测以下子项:

  • 主动连接恶意下载源
  • 访问恶意域名
  • 矿池通信行为
  • 可疑网络外连
  • 反弹Shell网络外连(详细信息,请参见云安全中心反弹Shell多维检测技术详解。)
  • Windows异常网络连接
  • 疑似内网横向攻击
  • 疑似敏感端口扫描行为(包括22、80、443、3389等常用端口)
其他 检测DDoS流量攻击等网络入侵行为和客户端异常离线。
异常账号 检测非合法的登录账号。
应用入侵事件 检测通过系统的应用组件入侵服务器的行为。
云产品威胁检测 检测您购买的其他阿里云产品中是否存在威胁,例如是否存在可疑的删除ECS安全组规则行为。
精准防御 病毒查杀功能提供了精准防御能力,可对主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型进行防御。关于如何开启该功能,请参见主动防御
应用白名单 通过在白名单策略中设置需要重点防御的服务器应用,检测服务器中是否存在可疑或恶意进程,并对不在白名单中的进程进行告警提示。
持久化后门 检测服务器上存在的可疑计划任务,对攻击者持久入侵用户服务器的威胁行为进行告警。
Web应用威胁检测 检测通过Web应用入侵服务器的行为。
恶意脚本 检测资产的系统功能是否受到恶意脚本的攻击或篡改,对可能的恶意脚本攻击行为进行告警提示。

恶意脚本分为有文件脚本和无文件脚本。攻击者在拿到服务器权限后,使用脚本作为载体来达到进一步攻击利用的目的。利用方式包括植入挖矿程序、添加系统后门、添加系统账户等操作。恶意脚本的语言主要包括Bash、Python、Perl、Powershell、BAT、VBS。

威胁情报 利用阿里云自研的威胁情报库对访问流量、日志进行关联分析,识别出可能已经发生的威胁事件,主要包括恶意域名访问、恶意下载源访问、恶意IP访问等不易直接发现的入侵行为。
恶意网络行为 通过流量内容、服务器行为等日志综合判断的异常网络行为,包括攻击者通过开放的网络服务入侵主机、或主机沦陷后对外发起的异常网络行为。
容器集群异常 检测正在运行的容器集群安全状态,帮助您及时发现容器集群中的安全隐患和黑客入侵行为。

您需要先打开云安全中心控制台设置页面,在容器K8s威胁检测模块开启威胁检测开关,云安全中心才会对容器集群异常行为进行检测。更多信息,请参见容器K8s威胁检测

可信异常 检测服务器的系统进程是否存在修改、启动过程是否出现异常等问题。
为了正常显示告警处理和查看资产状态,您需要为c6t等可信ECS实例配置一个ECS RAM角色并赋予足够权限。例如,您可以创建一个RAM角色,将云服务器设置为授信主体,并精确赋予它系统可信服务的访问权限。更多信息,请参见云服务器ECS实例RAM角色概述。访问系统可信服务的策略定义如下:
{
    "Statement": [
        {
            "Action": [
                "yundun-systrust:GenerateNonce",
                "yundun-systrust:GenerateAikcert",
                "yundun-systrust:RegisterMessage",
                "yundun-systrust:PutMessage"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ],
    "Version": "1"
}
注意 由于RAM用户的权限分配直接影响您的数字资产的安全性,强烈建议您阅读RAM帮助文档,并根据您的实际需要分配权限,不要给予RAM角色过多权限。