其他配置

云安全中心支持在其他配置中设置全局日志过滤、安全管控和访问控制功能。本文介绍其他配置支持的功能及如何配置相应功能。

全局日志过滤

云安全中心提供全局日志过滤能力,在保障安全效果防护的同时,有效使用日志存储空间,提升您的运营效率。

原理说明

全局日志过滤功能基于以下两个维度对云安全中心客户端的日志进行过滤。
  • 基于特定字段,在时间维度聚合的过滤

    将数据采集的特定字段,例如cmdline命令行、username用户名、pcmdline父进程命令行等字段,按一定顺序组合成key,并在单位时间内聚合过滤相同key的事件,统计相同特征的事件出现次数,次数未超过设置的阈值,正常上报;次数超过阈值则过滤。

  • 基于进程链的过滤

    将采集事件的进程链做归一化处理,提取特征作为过滤的key。在一个过滤周期内,统计相同特征的事件出现次数,次数未超过设置的阈值,正常上报;次数超过阈值则过滤。

前提条件

已开通日志分析服务。具体操作,请参见开通日志分析

说明 如果您未开通日志分析服务,控制台将不显示全局日志过滤功能。

开启全局日志过滤

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)在左侧导航栏,选择系统配置 > 功能设置
  2. 设置页签的其它配置子页签,打开全局日志过滤区域的日志过滤开关。

安全管控

安全管控功能支持配置IP地址白名单,云安全中心可放行加入到白名单中的IP地址。如果云安全中心将正常访问的IP地址识别为风险IP并对其进行拦截,导致部分业务受影响,您可通过安全管控功能设置IP白名单,放行因误判被拦截的IP地址。云安全中心不会对添加至IP白名单的IP地址进行告警或拦截。
重要 将某个IP地址加入IP白名单后,该IP地址在访问您的(部分或所有)服务器时将不受任何限制。添加IP白名单时请谨慎操作。
  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)在左侧导航栏,选择系统配置 > 功能设置
  2. 设置页签的其它配置子页签,单击安全管控区域的配置,跳转至安全管控控制台。
  3. 在左侧导航栏,选择白名单管理 > IP白名单
  4. IP白名单页面,单击添加
  5. 添加对话框,输入源IP(非当前阿里云账号下的IP地址),选中需要生效的云服务器ECS,并单击确定
    操作完成后,所输入的访问源IP会被加入所选择的云服务器ECS的访问白名单,所有来自该源IP对您阿里云账号下目标ECS的访问都不受任何安全管控限制。
  6. 可选:创建IP白名单后,您可以查看IP白名单列表或执行失效操作。
    • 查看白名单列表

      IP白名单页面,您可以查看IP白名单记录。

    • 使IP白名单失效
      如需再次管控指定IP白名单的访问,您可以单击该IP白名单操作列的失效,并在提示对话框,单击确定
      说明 执行失效操作后,来自该源IP的访问将重新受安全管控限制。

访问控制

使用阿里云访问控制RAM(Resource Access Management)服务您可以创建、管理RAM用户(例如员工、系统或应用程序),并控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源的场景时,RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业的信息安全风险。
说明 如果您的企业存在多用户协同操作云上资源的场景,为了避免给企业用户授予过多不必要的权限,给企业的资产安全带来较大的风险,建议您定期前往RAM控制台确认企业用户的权限授予情况。设置企业用户权限时建议遵从最小授权原则。
  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)在左侧导航栏,选择系统配置 > 功能设置
  2. 设置页签的其它配置子页签下的访问控制区域,查看访问控制相关的操作审计数据投递、服务关联角色说明、权限策略管理、用户管理、角色管理功能入口。
    • 您在使用云平台配置检查身份权限管理(CIEM)类型的检查项前,需要打开操作审计数据投递开关。开启该开关后,云安全中心可以访问操作审计服务的日志数据来检查身份权限管理相关配置项是否存在风险。
    • 查看云安全中心的服务关联角色AliyunServiceRoleForSas说明。更多信息,请参见云安全中心服务关联角色
    • 单击权限策略管理后的管理,跳转至RAM控制台,管理当前阿里云账号下所有权限策略。具体操作,请参见权限策略管理
    • 单击用户管理后的管理,跳转至RAM控制台,管理当前阿里云账号下已创建的用户。具体操作,请参见用户管理
    • 单击角色管理后的管理,跳转至RAM控制台,管理当前账号下已创建的RAM角色。具体操作,请参见角色管理