阿里云的云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,用于保护您的云上资产和本地服务器安全,并满足监管合规要求。云安全中心支持将告警消息接入到日志服务,由日志服务告警系统完成告警降噪、通知等功能。
前提条件
- 已创建协议为云安全中心的开放告警应用。具体操作,请参见配置开放告警对外接口。
- 已购买云安全中心企业版。具体操作,请参见购买云安全中心。
配置云安全中心
- 在通知页签的钉钉机器人通知区域,单击添加新的机器人。
- 在添加钉钉机器人面板中,配置相关参数,然后单击添加。
云安全中心消息解析
目前云安全中心支持检测漏洞、基线检查、安全告警、AK安全泄露这四种类型的消息。不同类型消息对应的告警消息字段如下表所示。
- 漏洞
字段名称 说明 与日志服务的映射关系 instanceName 受云安全中心保护的实例名称,例如ECS实例的名称。 映射到日志服务告警消息的labels字段中。 instanceId 受云安全中心保护的实例ID,例如ECS实例的ID。 映射到日志服务告警消息的labels字段中。 alias_name 漏洞别名 映射到日志服务告警消息的labels字段中。 internetIp IP地址 映射到日志服务告警消息的annotations字段中。 intranetIp 内网IP地址 映射到日志服务告警消息的annotations字段中。 uuid 服务器UUID 映射到日志服务告警消息的labels字段中。 aliUid 关联的阿里云账号ID 映射到日志服务告警消息的labels字段中。 time 告警时间 映射为日志服务告警消息的alert_time字段和fire_time字段。 - 基线检查
字段名称 说明 与日志服务的映射关系 instanceName 受云安全中心保护的实例名称,例如ECS实例的名称。 映射到日志服务告警消息的labels字段中。 instanceId 受云安全中心保护的实例ID,例如ECS实例的ID。 映射到日志服务告警消息的labels字段中。 type_alias 类型别名(中文) 映射到日志服务告警消息的annotations字段中。 risk_name 风险项名称 映射到日志服务告警消息的annotations字段中。 internetIp IP地址 映射到日志服务告警消息的annotations字段中。 intranetIp 内网IP地址 映射到日志服务告警消息的annotations字段中。 uuid 服务器UUID 映射到日志服务告警消息的labels字段中。 aliUid 关联的阿里云账号ID 映射到日志服务告警消息的labels字段中。 time 告警时间 映射为日志服务告警消息的alert_time字段和fire_time字段。 - 安全告警
字段名称 说明 与日志服务的映射关系 instanceName 受云安全中心保护的实例名称,例如ECS实例的名称。 映射到日志服务告警消息的labels字段中。 instanceId 受云安全中心保护的实例ID,例如ECS实例的ID。 映射到日志服务告警消息的labels字段中。 machineIp 机器IP地址 映射到日志服务告警消息的annotations字段中。 internetIp IP地址 映射到日志服务告警消息的annotations字段中。 intranetIp 内网IP地址 映射到日志服务告警消息的annotations字段中。 uuid 服务器UUID 映射到日志服务告警消息的labels字段中。 aliUid 关联的阿里云账号ID 映射到日志服务告警消息的labels字段中。 groupId 资产分组ID 映射到日志服务告警消息的labels字段中。 event_type 告警类型 映射为日志服务告警消息中的alert_name字段。 event_name 告警名称 映射为日志服务告警消息的annotations中的title字段。 op 操作,包括: - new:新增。
- fix:修复。
- verify:验证。
映射到日志服务告警消息的annotations字段中。 status 安全事件状态。更多信息,请参见安全事件状态。 映射为日志服务告警消息的annotations字段中。 time 告警时间 映射为日志服务告警消息的alert_time字段和fire_time字段。 其中,安全事件状态说明如下表所示。
status字段的取值 含义 映射为日志服务中的告警状态 Pending 待处理 触发(firing) Handled 已确认 触发(firing) Dealing 处理中 触发(firing) Auto Dealing 自动拦截中 触发(firing) Ignore 已忽略 已恢复(resolved) Fault 已标记误报 已恢复(resolved) Done 处理完毕 已恢复(resolved) Expire 已经过期 已恢复(resolved) Deleted 已经删除 已恢复(resolved) Auto Dealing Done 自动拦截完毕 已恢复(resolved) - AK安全泄露检测
字段名称 说明 与日志服务的映射关系 github_user 发生泄露的GitHub账户 映射到日志服务告警消息的labels字段中。 github_file 发生泄露的GitHub文件 映射到日志服务告警消息的labels字段中。 source 泄露源 映射到日志服务告警消息的labels字段中。 github_repo 发生泄露的GithubRepo 映射到日志服务告警消息的labels字段中。 accesskey_id 泄露的阿里云AccessKey信息 映射到日志服务告警消息的labels字段中。 aliUid 关联的阿里云账号ID 映射到日志服务告警消息的labels字段中。 time 告警时间 映射为日志服务告警消息的alert_time字段和fire_time字段。
字段映射
以安全告警类型的告警消息为例,介绍云安全中心告警消息与日志服务告警消息的映射关系。
| 日志服务 | 云安全中心 | 说明 |
|---|---|---|
| aliuid | 无 | 用于接入告警的开放告警应用所属的阿里云账号ID。 |
| alert_id | 无 | 告警监控规则ID。 |
| alert_type | 无 | 告警类型,固定为sls_pub。 |
| alert_name | event_type | 告警监控规则名称。 |
| status | status | 告警状态,包括firing和resolved。
云安全中心告警消息中的事件状态会被映射为告警状态。更多信息,请参见安全事件状态。 |
| next_eval_interval | 无 | 告警评估时间间隔,固定为0。 |
| alert_time | time | 告警本次评估时间。 |
| fire_time | time | 告警首次触发时间。 |
| resolve_time | 无 | 告警恢复时间。
|
| labels | instanceName、instanceId、accountName、aliUid、uuid | 告警标签信息。包含如下字段:
如果您在创建开放告警应用时 ,在信息加工中添加了标签信息,则此标签信息将被添加到labels字段中。 |
| annotations | status、internetIp、intranetIp、machineIp、op、event_name | 告警标注消息。包含的字段有status、internetIp、intranetIp、machineIp、op和title。
其中,title字段是通过event_name字段映射的。 除以上字段外,还会额外添加如下字段。
如果您在创建开放告警应用时 ,在信息加工中添加了标注信息,则此标注信息将被添加到annotations字段中。 |
| severity | 事件级别 | 告警严重度。
|
| policy | 无 | 您在开放告警应用中配置的告警策略。更多信息,请参见Policy结构。 |
| project | 无 | 告警中心所属的Project。更多信息,请参见项目(Project)。 |
| drill_down_query | 无 | 云安全中心告警消息的URL地址。单击该地址可跳转到云安全中心告警消息对应的页面。 |