云盾云安全中心提供基础版、高级版和企业版3个版本,不同版本的功能参见本文的功能列表。

  • 基础版免费为您提供基础安全加固能力,可检测主机异常登录及DDoS攻击、服务器漏洞和应急漏洞、以及云产品安全配置。您在购买ECS实例时选择安全加固即可开通基础版。
    说明 您可通过云安全中心产品页面单击免费试用,试用企业版功能,了解更多高级威胁检测能力。
  • 高级版按照包年包月方式收取服务费用,提供安全告警、漏洞检测及修复、安全报告等安全服务。
  • 企业版按照包年包月方式收取服务费用,提供安全告警、漏洞检测及修复、基线检查、资产指纹、攻击分析、等全面的安全服务。

云安全中心基础版、高级版和企业版功能对比

下表罗列了云安全中心功能详情的3个版本之间的功能差异,其中用到的标识:

  • X:表示不包含在服务范围中。
  • √:表示包含在服务范围中。
  • 增值:表示需要在购买服务时单独勾选,才包含在服务范围中。
功能 功能项 功能详情 基础版 高级版 企业版
安全告警 异常登录检测 【基础登录检测】
  • 【非常用登录地登录】系统自动记录ECS常用登录地(支持手动添加),若在非常用登录地进行登录,则触发告警。
  • 【暴力破解】检测ECS在多次尝试登录失败后最终登录成功的情况,这类情形很有可能是密码被暴力破解。
【高级登录监控】
  • 【非合法IP登录】开启后,允许用户配置ECS合法登录IP(如堡垒机IP、办公网IP等);若使用非指定的IP登录,则触发告警。
  • 【非合法账号登录】开启后,允许用户配置ECS合法登录账号;若使用非合法账号登录,则触发告警。
  • 【非合法时间登录】开启后,允许用户配置合法登录时间(如工作时间);若在非合法登录时间登录,则触发告警。
X
异常账户 基于用户行为分析,对异常可以账号登录系统进行检测。 X
网站后门查杀 【Webshell检测】主机+网络双重检测机制,检测PHP、ASP、JSP等类型的网站脚本文件。
  • 主机检测:实时监控主机上网站目录文件变化。
  • 网络检测:通过还原后门文件及分析网络协议进行检测。
X
【Webshell查杀】支持在控制台一键隔离检测出来的Webshell文件。已隔离文件在30天内可以恢复。 X
恶意进程(云查杀) 【病毒检测】定期扫描进程并监控进程启动事件,通过云查杀机制检测恶意病毒和木马进程。

【病毒查杀】支持在控制台一键中止进程和隔离恶意文件。

【病毒查杀范围】
  • 勒索病毒:WanaCry、CryptoLocker等加密文件型勒索软件。
  • 恶意攻击:对外DDoS攻击木马、对外恶意扫描木马、垃圾邮件发送木马等。
  • 挖矿软件:占用服务器非法挖掘虚拟货币的资源消耗型软件。
  • 肉鸡程序:中控木马、恶意中控连接、黑客工具等。
  • 其他病毒:蠕虫病毒、Mirai病毒、感染型病毒等。
【病毒库】
  • 更新机制:病毒版本部署在云端,由阿里云统一控制,实时更新,客户端本地无检测引擎。
  • 病毒样本能力:基本覆盖全种类病毒,在云端集成国内外主流杀毒引擎、阿里云自研沙箱和机器学习引擎等。
X
进程异常行为 【异常行为检测】通过云上真实的攻防场景对入侵链路还原,建立进程行为白名单,对于进程的非法行为、黑客的入侵过程进行告警。
【异常行为检测范围】
  • 反弹Shell:检测Bash进程执行可疑指令,服务器被远程控制执行任意命令等。
  • 数据库异常指令执行:检测MySQL、PostgreSQL、SQLSserver、Redis、Oracle等数据库的异常指令。
  • 应用进程非法操作:检测Java、FTP、Tomcat、Docker容器、Lsass.exe等应用进程的非法操作。
  • 系统进程非法行为:检测Powershell、SSH、RDP、SMBD共享、SCP文件拷贝等系统进程的非法行为。
  • 其他可疑进程行为:检测Vbscript、Host被访问、crontab被写入、Webshell写入等。

【异常行为检测能力】为数百个进程建立了近千个行为模型,通过比对模型分析异常行为。

X
敏感文件篡改 【篡改检测】实时监控敏感目录及文件,对于异常的读取、写入、删除等敏感操作进行告警。
【文件篡改检测范围】
  • 系统文件篡改:检测Bash、ps命令进程被恶意替换,隐藏的非法进程运行等。
  • 网站核心文件删除:检测黑客非法登录服务器后,恶意删除网站文件。
  • 网站挂马篡改:检测网站被加入恶意代码,造成访问者自动下载木马病毒。
  • 其他可疑事件:检测Linux、MysqlDB等被勒索软件篡改登录界面、留下邮箱或比特币钱包地址等情形。
X
异常网络连接 【异常连接】在主机层和网络层对网络连接进行监控,识别非法的连接行为,并进行告警。
【异常连接检测范围】
  • 主动外连:可疑shell反弹、Bash主动外连等主动外连到可疑IP。
  • 恶意攻击:被种植恶意软件,对外发动SYN-Flood、UDP-Flood、ICMP-Flood等恶意攻击。
  • 可疑通信:检测后门程序通信、可疑Webshell通信行为等。
X
云产品威胁检测 基于用户行为分析,对云产品的异常使用进行检测。 X X
应用事件检测 对通过应用入侵的行为进行检测,如:SQLServer。 X
自动化攻击溯源 支持多类攻击自动化攻击溯源,溯源出攻击IP和主机中的入侵弱点。 X X
其他 DDoS攻击行为检测。 X X
漏洞管理 Linux软件漏洞 【Linux软件漏洞检测】对标CVE官方漏洞库,采用OVAL匹配引擎进行软件版本比对,对当前使用的软件版本中存在的漏洞进行告警。
说明 基础版只支持漏洞自动检测,不支持漏洞修复和漏洞立即扫描操作。如需使用云安全中心对漏洞进行修复和手动立即扫描资产是否存在漏洞,需要升级到高级版和企业版。
只检测
【漏洞修复】支持一键运行update升级命令修复漏洞,以及生成漏洞修复命令,用于手动修复。 X
Windows系统漏洞 【Windows系统漏洞检测】同步微软官网补丁源,对高危及有影响的漏洞进行检测和提醒。
说明 基础版只支持漏洞自动检测,不支持漏洞修复和漏洞立即扫描操作。如需使用云安全中心对漏洞进行修复和手动立即扫描资产是否存在漏洞,需要升级到高级版和企业版。
只检测
【漏洞修复】支持一键下载补丁文件并静默安装更新,需要重启的漏洞会进行提醒。 X
Web-CMS漏洞 【Web-CMS漏洞检测】监控网站目录,识别通用建站软件,通过漏洞文件比对方式检测建站软件中的漏洞。
说明 基础版只支持漏洞自动检测,不支持漏洞修复和漏洞立即扫描操作。如需使用云安全中心对漏洞进行修复和手动立即扫描资产是否存在漏洞,需要升级到高级版和企业版。
只检测
【漏洞修复】自研漏洞补丁,支持一键修复,通过文件替换、修改等方式从源代码级别修复漏洞。 X
应急漏洞 临时提供针对网络上突然出现的紧急漏洞的检测和修复服务。
说明 基础版只支持漏洞自动检测,不支持漏洞修复和漏洞立即扫描操作。如需使用云安全中心对漏洞进行修复和手动立即扫描资产是否存在漏洞,需要升级到高级版和企业版。
应用漏洞 提供系统服务弱口令、系统服务和应用服务的漏洞检测及修复服务。
说明 应用漏洞为企业版功能,基础版和高级版不支持。如需使用云安全中心对应用漏洞进行修复和检测资产是否存在漏洞,需要升级到企业版。
X X
立即扫描 云安全中心支持对您的资产进行手动立即扫描、实时检测是否存在漏洞的功能。
说明 除应用漏洞外,其他几类漏洞只有高级版和企业版才能使用立即扫描功能。

应用漏洞属于企业版功能,基础版和高级版不支持,只有企业版才可使用立即扫描功能。

X √(高级版不支持应用漏洞)
基线配置核查 主机基线 【主机基线检查】通过任务下发模式,对主机进行安全配置扫描,对未符合标准的项目进行提醒。
【主机基线检查范围】
  • 账号安全:检测密码策略合规、系统及应用弱口令等。
  • 系统配置:检测组策略、登录基线策略、注册表配置等存在的风险。
  • 数据库风险:检测Redis数据库高危配置等。
  • 合规对标要求:检测是否符合CIS-Linux Centos7等系统基线要求。

【自定义检测策略】支持自定义检测策略,设置检测项目、检测周期、应用的服务器组等。暂不支持自定义检测脚本。

X X
攻击分析 攻击分析 【攻击分析】支持查看系统遭受的Web攻击详情和ECS遭受的暴力破解攻击等攻击信息。 X X
AK和账号密码泄露 AK和账号密码泄露 实时监控Github等第三方代码托管网站,捕获并判定被公开的源代码(包含企业员工私自上传并不小心公开的源代码)中是否含有ECS、RDS、Redis、MySQL等资产的登录名和密码信息。 X X
云平台配置检查 云平台配置检查 【云平台配置检查】检测ECS、RDS等云产品的安全配置是否存在安全隐患。
【检查范围】
  • ECS:检测安全组端口访问策略是否过宽。
  • SLB:检测是否转发不必要的端口至公网,增加系统受攻击风险。
  • RDS:检测数据库是否公开在外网,以及是否配置访问白名单。
  • Actiontrail:是否开启了操作日志审计,便于日志回溯。
  • MFA:是否开启了双因素认证登录,防止阿里云账号被破解。
  • 其他:检测SLB白名单、RDS加密通信等。
日志分析 全量日志分析 基于SLS日志,提供主机进程启动、对外网络连接、系统登录、五元组、DNS请求、安全日志和报警日志等原始日志检索和分析。
说明 高级版支持主机日志和安全日志,不支持网络日志;企业版支持主机日志、安全日志和网络日志。
X 增值 增值
资产指纹 资产指纹 【端口】收集和呈现端口监听信息,记录变动历史,便于清点开放的端口信息。

【账号】收集账号及对应权限信息,可清点特权账号,检测提权行为。

【进程】收集和呈现进程快照信息,便于自主清点合法进程,检测异常进程。

【软件】清点软件安装信息,在高危漏洞爆发时可快速定位到受影响资产。

【网站后台】识别网站后台资产,监控是否有撞库和异常网站后台登录行为。

X X
应用市场 可视化态势 支持查看业务运营监控、安全应急响应中心、安全感知体系、安全防御体系大图、业务访客概览等多种数据大屏,并支持组件自定义。 X 增值 增值
应用市场 自定义告警 支持用户自定义告警规则,实时检测威胁,支持第三方日志导入进行实时分析。 X 增值 增值
应用市场 网页防篡改 可实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 X 增值 增值
应用市场 微步威胁情报 提供第三方威胁情报源。 X 增值 增值
设置 设置 支持对云安全中心病毒查杀、网站后门查杀、Agent防护模式进行配置。 X
通知 对告警通知进行自定义设置,通过告警设置调整云安全中心向您发送告警通知的方式和要关注的风险等级。 X
安全日报 对安全日报进行配置。开启安全日报后,云安全中心以邮件形式向您指定的收件人发送每日安全统计信息。 X
安装/卸载插件 支持Agent插件的安装和卸载。 X