通知设置功能支持针对安全事件、新增公网资产、资产未保护、日志存储空间超量及报文存储空间超量等场景,自定义配置告警策略。该功能提供邮件、站内信等多种通知渠道,协助用户及时发现并响应安全风险。
操作步骤
步骤一:配置通知接收人
配置通知项前,需先指定接收通知的联系人,默认消息接收人为账号联系人(即注册账号时填写的联系人)。
登录消息中心,在左侧导航栏中选择基本接收管理。
在安全消息页签定位到云盾安全信息通知,单击操作列修改,进入修改消息接收配置页面。
在消息接收人页签,管理通知接收人。
选择已有联系人:在弹出的对话框中,直接勾选希望接收通知的联系人。
添加新联系人:如需添加新联系人,请参见修改地址和联系人进行操作。
完成选择后,单击保存。
如需配置联系人收信规则与通知语言,请继续在消息中心完成设置。具体操作步骤请参见基本消息接收管理。
步骤二:配置通知
在左侧导航栏,选择 。
请定位至目标通知项,并按以下说明配置通知策略:
通知时间:设置告警通知的发送时段。
我关注的等级 / 阈值:设置触发通知的条件。安全事件通知需配置关注的事件等级;日志存储空间超量通知与报文存储空间超量通知需配置触发告警的使用率阈值。
通知方式:选择接收告警通知的渠道。
步骤三:配置机器人通知(仅勾选Webhook通知方式时适用)
如需通过钉钉、企业微信、飞书、Slack 或自定义 Webhook 等渠道实时接收 NDR 识别的安全风险信息,请按如下步骤配置机器人通知。
若在机器人的安全设置中配置了自定义关键词,请添加关键词阿里云及Alibaba,确保能够接收到来自阿里云的 Webhook 消息。
关闭通知
若无需接受系统发送的NDR安全通知,请按如下步骤进行操作。
在左侧导航栏,选择 。
定位至目标通知项,取消勾选其通知方式列的所有渠道。
说明若配置了机器人通知,也可以前往消息中心,取消已配置的接收机器人。具体操作,请参见机器人接收管理。
常见问题
配置了通知后,为什么接收不到?
请按以下步骤排查:
检查接收人:确认联系方式已添加并完成验证。
检查通知配置:确认相关通知项已开启至少一种通知方式,且配置项(如关注等级、阈值百分比)与实际触发条件匹配。
检查垃圾箱:检查邮件的垃圾箱或短信的拦截记录。
检查限流:对照通知频率与限流规则章节,确认是否已达到当天的发送上限。
检查去重:同一安全事件仅通知一次,不会因事件持续或等级升级而重复发送。
新开通 NDR 后,通知是默认开启的吗?
是的。新用户开通 NDR 实例时,系统会自动为所有通知项写入默认配置,可以随时在控制台中进行修改。
如何让特定联系人不接收 NDR 的消息通知?
可以为特定联系人设置自定义收信规则,使用黑名单关键词过滤 NDR 相关通知:
登录消息中心,在左侧导航栏中选择基本接收管理。
在安全消息页签定位到云盾安全信息通知,单击操作列修改,进入修改消息接收配置页面。
定位至目标联系人,单击收信规则列的编辑,选择黑名单关键词,输入 NDR 后单击确定。
设置后,该联系人将不再收到包含 "NDR" 关键词的短信和邮件通知,但不影响其他联系人的接收。更多信息请参见设置消息接收。
附录
通知频率与限流规则
为避免过多通知造成干扰,NDR 对各类通知设置了去重与限流机制:
通知项 | 去重规则 | 每日限流规则 |
安全事件通知 | 同一事件仅通知一次。 | 短信每天最多 5 条;邮件、站内信、机器人每天最多 20 条。 |
新增公网资产通知 | 同一用户每小时最多触发一次。 | 每天最多 5 条。 |
资产未保护通知 | 同一用户每天最多触发一次。 | 每天最多 1 条。 |
日志存储空间超量通知 | 同一用户每天最多触发一次。 | 每天最多 5 条。 |
报文存储空间超量通知 | 同一用户每天最多触发一次。 | 每天最多 5 条。 |
支持的通知内容
安全事件通知:当 NDR 检测到攻击事件(如暴力破解、横向移动、C&C 通信等)时,系统将依据预设的关注等级实时发送告警。通知内容涵盖事件名称、严重等级、攻击者 IP 及归属地、攻击类型、关联告警次数等关键信息;若已生成 AI 分析报告,将同步提供分析总结与处置建议。
新增公网资产通知:当 NDR 发现新增公网资产时,系统将实时发送通知,并提示开启新增资产自动保护功能,以降低人工配置成本。
资产未保护通知:系统每周定期汇总未开启 NDR 保护的公网 IP 及私网资产情况,并发送周报提醒,建议及时开启防护。
日志存储空间超量通知:当日志分析存储使用量达到预设阈值时触发通知。若超出容量限制,日志将停止写入,请及时扩容。
报文存储空间超量通知:当报文留存存储使用量达到预设阈值时触发通知。若超出容量限制,系统将自动删除最旧报文以释放空间,请及时扩容以避免历史数据丢失。