Secara default, Security Center mengirimkan notifikasi melalui chatbot DingTalk. Jika Anda ingin menerima peringatan Security Center di Lark atau WeChat Work, gunakan fitur langganan event CloudMonitor untuk meneruskan peringatan tersebut ke grup Lark atau WeChat Work Anda.
Ikhtisar
Security Center dapat mendorong peringatan keamanan ke CloudMonitor, yang kemudian meneruskannya ke Lark atau WeChat Work melalui langganan event. Konfigurasinya mencakup langkah-langkah berikut:
-
Aktifkan dorongan CloudMonitor: Di pengaturan notifikasi Security Center, aktifkan sakelar dorongan CloudMonitor dan pilih jenis peringatan yang akan didorong.
-
Buat chatbot: Buat chatbot kustom di Lark atau WeChat Work dan salin URL webhook-nya.
-
Buat kelompok kontak peringatan CloudMonitor:
-
Buat kontak peringatan di CloudMonitor dan ikatkan URL webhook ke kontak tersebut.
-
Tambahkan kontak peringatan dengan URL webhook ke kelompok kontak peringatan di CloudMonitor.
-
-
Buat kebijakan notifikasi CloudMonitor: Buat kebijakan notifikasi di CloudMonitor, kaitkan dengan kelompok kontak peringatan, lalu tentukan penerimanya.
-
Konfigurasikan langganan event CloudMonitor: Buat kebijakan langganan event untuk berlangganan event sistem dari Security Center dan kaitkan dengan kebijakan notifikasi.
Langkah 1: Aktifkan dorongan CloudMonitor di Security Center
Aktifkan fitur dorongan CloudMonitor di Security Center agar CloudMonitor dapat menerima peringatan dari Security Center.
CloudMonitor tidak akan menerima peringatan dari Security Center hingga fitur ini diaktifkan.
-
Buka halaman Konsol Security Center > System Settings > Notification Settings. Di pojok kiri atas halaman, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
-
Pada tab Cloud Monitor Push, pilih item notifikasi yang akan didorong. Tabel berikut menjelaskan item-item notifikasi tersebut.
Item Notifikasi
Frekuensi Dorong
Deskripsi
Security Incident
Push ResultDetails: Tidak terbatas
Notifikasi untuk serangan keamanan yang terdeteksi, seperti Serangan DDoS dan serangan brute-force.
Alert
Push ResultDetails: Tidak terbatas
Notifikasi untuk ancaman yang terdeteksi pada Host atau dalam Kontainer, seperti aktivitas logon mencurigakan dan proses berbahaya.
Baseline Check
Push ResultOverview: Dikirim sekali seminggu setiap hari Kamis.
Notifikasi untuk laporan ringkasan hasil Pemeriksaan baseline keamanan.
CSPM
Push ResultOverview: Dikirim sekali seminggu setiap hari Kamis.
Notifikasi untuk laporan ringkasan hasil pemeriksaan risiko konfigurasi platform cloud.
Agentless Detection
Push ResultDetails: Dapat dikustomisasi
Notifikasi untuk hasil Pemindaian keamanan yang tidak memerlukan instalasi Agen.
Malicious file
Push ResultDetails: Dapat dikustomisasi
Notifikasi untuk file berbahaya yang terdeteksi oleh SDK deteksi malicious file.
Vulnerability
Push ResultOverview: Dikirim sekali seminggu setiap hari Kamis.
Push ResultDetails: Dapat dikustomisasi
Notifikasi untuk hasil deteksi dan ringkasan kerentanan sistem serta aplikasi.
Application Protection
Push ResultDetails: Dapat dikustomisasi
Notifikasi Alert untuk Runtime Application Self-Protection (RASP).
Langkah 2: Buat chatbot
Buat chatbot kustom di Lark atau WeChat Work dan salin URL webhook-nya. Anda akan menggunakan URL ini untuk mengonfigurasi kontak peringatan di CloudMonitor pada Langkah 3.
Lark chatbot
Bagian ini menjelaskan cara membuat chatbot Lark kustom menggunakan klien desktop Lark.
-
Buka dan login ke klien Lark. Di grup Lark, klik ikon
di pojok kanan atas, lalu klik Group Robot. -
Di panel Group Robot, klik Add Robot, lalu pilih Custom Robot.
-
Di halaman konfigurasi chatbot, masukkan Robot Name, misalnya
CloudMonitor Alert, lalu klik Add. -
Salin URL webhook. Kemudian, pilih Custom Keywords dan masukkan kata kunci seperti
alert,CloudMonitor, atauSecurity Center.Penting-
Chatbot Lark mensyaratkan bahwa konten pesan harus menyertakan minimal satu kata kunci kustom yang ditentukan. Jika tidak, pesan akan diblokir. Kami merekomendasikan menambahkan beberapa kata kunci umum agar pesan peringatan dapat dikirimkan.
-
Simpan URL webhook secara aman. Anda akan membutuhkannya untuk mengonfigurasi kontak peringatan di CloudMonitor.

-
Buat bot WeChat Work
Bagian ini menjelaskan cara membuat chatbot WeChat Work kustom menggunakan aplikasi seluler WeChat Work.
-
Buka dan login ke aplikasi WeChat Work.
-
Di grup WeChat Work, ketuk ikon
di pojok kanan atas, lalu ketuk Group Robot. -
Di halaman Group Robot, ketuk Add Robot.
-
Di halaman Add Robot, masukkan Custom Robot Name, misalnya
CloudMonitor Alert, lalu ketuk Add. -
Di halaman konfirmasi, ketuk Copy untuk menyimpan URL webhook chatbot WeChat Work.
PentingSimpan URL webhook secara aman. Anda akan membutuhkannya untuk mengonfigurasi kontak peringatan di CloudMonitor.
Langkah 3: Konfigurasikan kontak peringatan dan kebijakan
Buat kontak peringatan di CloudMonitor, ikatkan URL webhook dari Langkah 2 ke kontak tersebut, lalu tambahkan kontak tersebut ke kelompok kontak peringatan. Dengan demikian, CloudMonitor dapat mengirimkan notifikasi peringatan ke Lark atau WeChat Work melalui URL webhook.
-
Buat kontak peringatan
-
Login ke Konsol CloudMonitor. Di panel navigasi kiri, pilih .
-
Di tab Alert Contacts, klik Create Alert Contact.
-
Di panel Set Alert Contact, konfigurasikan parameter berdasarkan informasi berikut:
-
Name: Masukkan nama, misalnya
Lark chatbotatauWeChat Work chatbot. -
DingTalk|Lark|WeCom|Slack Webhook(http|https): Tempel URL webhook yang Anda peroleh di Langkah 2. Ini adalah bidang webhook universal tempat Anda dapat memasukkan URL webhook untuk Lark maupun WeChat Work.
-
-
(Opsional) Uji konektivitas webhook: Klik tombol Test di sebelah kanan bidang input webhook. Kode status
200menunjukkan koneksi berhasil. -
Setelah memverifikasi informasi, klik Confirm.
-
-
Buat kelompok kontak peringatan
-
Klik tab Alert Contact Group, lalu klik Create Alert Contact Group.
-
Di panel Create Alert Contact Group, konfigurasikan parameter berdasarkan informasi berikut dan klik Confirm.
-
Group Name: Masukkan nama untuk kelompok tersebut, misalnya
Lark chatbot groupatauWeChat Work chatbot group. -
Select contacts: Pilih kontak peringatan yang telah Anda buat pada langkah sebelumnya.
-
-
-
Buat kebijakan notifikasi
-
Di panel navigasi kiri, pilih .
-
Klik Create policy. Konfigurasikan parameter berdasarkan informasi berikut dan klik OK.
-
Name: Masukkan nama untuk kebijakan tersebut. Misalnya,
Security Center Alert Notification. -
Notification Settings: Pilih Set Notification Group Directly.
-
Contact Group: Pilih kelompok kontak peringatan yang telah Anda buat pada langkah sebelumnya.
-
-
Langkah 4: Konfigurasikan langganan event
Buat kebijakan langganan event untuk berlangganan event sistem dari Security Center dan kaitkan dengan kebijakan notifikasi yang Anda buat di Langkah 3.
-
Login ke Konsol CloudMonitor. Di panel navigasi kiri, pilih .
-
Di tab Subscription Policy, klik Create Subscription Policy dan konfigurasikan parameter berdasarkan informasi berikut.
-
Name: Masukkan nama untuk kebijakan tersebut. Kami merekomendasikan menggunakan nama deskriptif, seperti
Security Center Alerts to Lark. -
Subscription Type: Pilih System Events.
-
Subscription Scope:
-
Products: Pilih Cloud Security Center.
-
Event Type: Pilih jenis event yang sesuai dengan Notification Item dan Push Content untuk notifikasi dorongan CloudMonitor yang telah Anda aktifkan di Security Center pada Langkah 1. Pemetaannya adalah sebagai berikut:
Security Center
CloudMonitor
Security Incident
Incident
Alert
Suspicious
Baseline Check
System-Baseline-cnt
CSPM
Cspm-cnt
Agentless Detection
Agentless
Malicious file
mfd SDK
Vulnerability
Push Result Overview: Vulnerability-cnt
Push Result Details: Vulnerability
Application Protection
Rasp
-
Event name dan Event Level: Pilih notifikasi event yang ingin Anda terima.
-
Jika Anda membiarkan bidang ini kosong, Anda akan menerima notifikasi untuk semua event.
-
Jika Anda memilih Set as blacklist, aturan akan dibalik. Anda akan menerima notifikasi untuk semua event kecuali event dengan Event name atau Event Level tertentu.
-
-
Application grouping, Event Content, dan Event Resources: Biarkan pengaturan default.
-
-
Combined Noise Reduction: Gunakan pengaturan default.
-
Notification Configuration: Pilih kebijakan notifikasi yang telah Anda buat di Langkah 3.
-
Custom Notification Method dan Push and Integration: Pertahankan pengaturan default.
-
-
Setelah mengonfigurasi parameter, klik Submit.
FAQ
-
Mengapa saya tidak menerima peringatan setelah menyelesaikan konfigurasi?
Periksa hal berikut secara berurutan:
-
Sakelar dorongan Security Center: Di Langkah 1, verifikasi bahwa sakelar Cloud Monitor Push telah diaktifkan untuk jenis peringatan yang ingin Anda terima.
-
Aturan langganan event: Di Langkah 4, periksa kebijakan langganan event yang Anda buat. Pastikan kondisi filternya—seperti Event Type dan event level—sesuai dengan peringatan yang Anda harapkan.
-
Kata kunci Lark (masalah paling umum): Jika Anda menggunakan Lark, pastikan kata kunci kustom di pengaturan chatbot sesuai dengan konten pesan peringatan aktual. Kami merekomendasikan menggunakan kata kunci umum seperti
alertatauevent. -
URL webhook: Di CloudMonitor, buka Alert Contacts dan gunakan fitur Test untuk memeriksa apakah URL webhook dapat dijangkau. Pastikan URL benar dan tidak diblokir oleh firewall atau kebijakan jaringan lainnya.
-
Riwayat event CloudMonitor: Di Event Center > Event History, periksa apakah event berhasil diterima dan didorong. Jika suatu event ada tetapi dorongan gagal, biasanya alasan kegagalannya dicatat.
-
-
Bagaimana cara menghindari alert fatigue?
-
Aktifkan Merge and Reduce Noise: Di kebijakan langganan event dari Langkah 4, konfigurasikan Merge and Reduce Noise. Misalnya, atur agar menggabungkan notifikasi untuk event yang sama dalam rentang 1 menit.
-
Gunakan filter yang tepat: Di kebijakan langganan event yang sama, kurangi notifikasi untuk peringatan yang kurang penting dengan mengatur event level (misalnya, hanya berlangganan risiko tinggi) atau menentukan event name tertentu.
-
-
Apa yang harus saya lakukan jika pengujian webhook mengembalikan kode status non-200?
Kode status non-200 berarti CloudMonitor gagal mengirim pesan ke chatbot Anda. Penyebab umumnya meliputi:
-
URL salah: URL webhook yang disalin tidak lengkap atau salah.
-
Batasan daftar putih IP: Beberapa tool chat, seperti Lark, mungkin memiliki pengaturan keamanan yang menggunakan daftar putih IP. Anda mungkin perlu menambahkan alamat IP server CloudMonitor ke daftar tersebut.
-
Ketidaksesuaian kata kunci (Lark): Konten pesan tidak menyertakan kata kunci yang ditentukan, sehingga chatbot Lark memblokir pesan tersebut.
-
Batas frekuensi terlampaui: Terlalu banyak pesan dikirim dalam waktu singkat, memicu batas frekuensi tool chat. Misalnya, chatbot WeChat Work memiliki batas 15 pesan per menit.
-