云安全中心的安全告警设置功能,支持手动维护常用登录地、常用登录IP、常用登录时间、常用登录账号、防暴力破解、Web目录定义以及加白规则,可帮助您建立更精细化的威胁防护规则并对这些规则进行统一的管理,从而达到及时发现资产中的安全威胁、实时掌握资产的安全态势目的。

版本限制说明

云安全中心基础杀毒版高级版企业版提供高级登录告警功能,支持配置更精细的异常登录检测,例如设置常用登录的IP、时间、账号。

管理常用登录地、常用登录IP、常用登录时间、常用登录账号

您可以在安全告警设置面板上对常用登录地、常用登录IP、常用登录时间、常用登录账号进行配置。配置完成后,云安全中心会对非指定的登录情形进行告警。

  1. 登录云安全中心控制台
  2. 在左侧导航栏中,选择威胁检测 > 安全告警处理
  3. 安全告警处理处理页面,单击右上角安全告警设置
  4. 安全告警设置面板上,对常用登录地、常用登录IP、常用登录时间、常用登录账号进行管理。
    常用登录地、常用登录IP、常用登录时间、常用登录账号配置的操作步骤基本相同,下文以添加常用登录地为例,为您介绍这些功能配置的操作步骤:
    • 管理常用登录地
      1. 单击常用登录地页签。
      2. 单击常用登录地区域右侧的管理按钮。
      3. 常用登录地面板上,选择要添加的常用登录地点,然后选择添加应用的服务器。常用登录地
        说明 常用登录地点支持选择全球区域,您可以根据需要选择任一区域。
      4. 单击确定,完成添加。
      云安全中心支持编辑和删除已成功添加的常用登录地。
      • 单击目标常用登录地右侧的编辑,修改该登录地的生效服务器。
      • 单击目标常用登录地右侧的删除,删除该常用登录地配置。
    • 管理常用登录IP

      参考管理常用登录地的操作步骤,配置好常用登录IP后,单击常用登录IP右侧的非常用登录IP报警开关,开启或关闭登录IP检查。开启非常用登录IP报警开关后,当有非指定IP登录服务器时就会触发告警。您可以在安全告警处理页面查看相关告警。

    • 管理常用登录时间

      参考管理常用登录地的操作步骤,配置好常用登录时间后,单击常用登录时间右侧的非常用登录时间报警开关,开启或关闭登录时间检查。开启非常用登录时间报警开关后,当在非常用时间登录服务器时就会触发告警。您可以在安全告警处理页面查看相关告警。

    • 管理常用登录账号

      参考管理常用登录地的操作步骤,配置好常用登录账号后,单击常用登录账号右侧的非常用账号登录报警开关,开启或关闭登录账号检查。开启非常用账号登录报警开关后,当使用非常用账号登录服务器时就会触发告警。您可以在安全告警处理页面查看相关告警。

配置防暴力破解规则

云安全中心提供防暴力破解功能,支持配置自定义暴力破解防御规则。

  1. 登录云安全中心控制台
  2. 在左侧导航栏中,选择威胁检测 > 安全告警处理
  3. 安全告警处理处理页面,单击右上角安全告警设置
  4. 安全告警设置面板上,单击防暴力破解页签。
  5. (可选)进行防暴力破解授权操作。
    1. 将鼠标悬停在防暴力破解区域右侧的置灰管理按钮上,在弹出的提示框中单击去授权
    2. 单击同意授权
  6. 单击防暴力破解区域右侧的管理
  7. 添加防御规则面板上,配置防御规则。防暴力破解配置
    云安全中心为您提供了默认防御规则,该防御规则为同一服务器10分钟内登录失败次数超过80次,禁止登录6小时。您可以选择对应服务器,直接使用该默认防御规则。您也可以参考以下表格中的配置说明自定义防御规则。
    参数 说明
    防御规则名称 设置防暴力破解自定义规则名称。
    防御规则 设置某个时间范围(支持选择1分钟、2分钟、5分钟、10分钟、15分钟)内登录失败次数超过限定次数(支持选择2次、3次、4次、5次、10次、50次、80次、100次),禁止登录时长(支持选择5分钟、15分钟、30分钟、1小时、2小时、6小时、12小时、24小时、7天、永久)。例如:1分钟内登录失败次数超过3次,禁止登录30分钟。
    请选择对应的服务器 设置防御规则生效的服务器。支持直接选择云安全中心防护的服务器,或根据服务器名称和IP筛选指定服务器。
    设置为默认策略 设置该防御规则是否为默认策略。设置为默认策略后,其他未添加防御规则的服务器将默认应用该规则。
    说明 选中设置为默认策略后,无论您是否在请选择对应的服务器中选择了服务器,当前策略都会对所有未添加防御规则的服务器生效。
  8. 单击确定
    注意 每台服务器仅支持配置一个防御规则。
    • 如果该规则中设置生效的服务器未配置其他任何防御规则,该防御规则添加成功。
    • 如果该规则中设置生效的服务器已配置了其他防御规则,在确认防御规则变更页面,单击确认。
    • 在安全告警设置页面查看已添加的防御规则,及其生效服务器数量。
      说明
      • 如果原防御规则的生效服务器配置了新防御规则,原防御规则的生效服务器数量会相应减少。
      • 云安全中心支持编辑或删除已添加的暴力破解防御规则。
      • 可前往资产中心页面,修改单个资产已配置的暴力破解防御规则,具体内容,请参见查看单个资产详情
    • IP规则策略库页面查看云安全中心为您自动生成的IP拦截策略。
      您在安全告警设置面板的防暴力破解 页签下添加了防御规则后,该规则触发了IP拦截,就会自动生成IP拦截策略。以下步骤介绍如何查看IP拦截策略。
      1. 安全告警处理页面,单击生效IP拦截策略/全部策略下的数字。

        单击生效IP拦截策略下的数字可跳转到已启用的系统内置IP拦截规则页面。单击全部策略下的数字可跳转到全部状态(包括已启用和已禁用)的系统内置IP拦截规则页面。

      2. IP规则策略库系统规则页签下,查看云安全中心自动生成的IP拦截策略。
        IP拦截策略的更多信息,请参见设置IP拦截策略IP规则策略库

管理自定义Web目录

云安全中心会自动检测您服务器资产中的Web目录,并进行动态检测和静态扫描,您也可以手动添加服务器中的其它Web目录进行检测扫描。

  1. 登录云安全中心控制台
  2. 在左侧导航栏中,选择威胁检测 > 安全告警处理
  3. 安全告警处理处理页面,单击右上角安全告警设置
  4. 安全告警设置面板上,单击自定义Web目录页签。
  5. 单击自定义Web目录区域右侧的管理
  6. 输入常用的Web路径,然后选择生效服务器,该路径所对应的Web目录会被添加到检测列表中。
    说明 出于性能效率考虑,不支持直接添加root目录作为Web目录。
  7. 单击确定,完成添加。

管理加白规则

如果您在处理告警事件时选择处理方式为加白名单,您可以在在安全告警设置面板上,对该白名单规则进行编辑和删除的操作。

  1. 登录云安全中心控制台
  2. 在左侧导航栏中,选择威胁检测 > 安全告警处理
  3. 安全告警处理处理页面,单击右上角安全告警设置
  4. 安全告警设置面板上,单击加白规则页签。
  5. 加白规则区域,您可以对目标规则进行编辑删除
    • 编辑加白规则
      1. 定位到您要编辑的规则,单击右侧编辑按钮。
      2. 编辑规则对话框中,修改加白字段通配符加白的规则
      3. 单击确定,完成修改。
    • 删除加白规则
      1. 定位到您要删除的规则,单击右侧删除按钮。
      2. 单击确定,完成删除。