All Products
Search
Document Center

Security Center:Praktik terbaik untuk pemantauan file inti

Last Updated:May 28, 2026

Security Center memantau file kritis di server secara real time—melacak operasi baca, tulis, hapus, ganti nama, dan perubahan permission—serta memberikan peringatan jika terjadi potensi pencurian atau perubahan tidak sah. Topik ini mencakup praktik terbaik dalam mengonfigurasi aturan pemantauan dan menyiapkan notifikasi peringatan melalui chatbot DingTalk.

Host intrusion detection dan pemantauan file inti

Defense-in-depth merupakan praktik terbaik keamanan siber. Host intrusion detection mengidentifikasi aktivitas mencurigakan berdasarkan pola perilaku, sedangkan pemantauan file inti melengkapinya dengan mendeteksi perubahan tidak sah pada file dan direktori.

Kombinasi kedua fitur ini meningkatkan kemampuan deteksi terhadap ancaman kompleks. Selama insiden keamanan, peringatan dari pemantauan file inti membantu tim keamanan melacak aktivitas penyerang untuk respons insiden dan analisis forensik.

Pemantauan file inti juga mampu mendeteksi ancaman internal, seperti tindakan jahat dari dalam organisasi atau kesalahan operasional.

Panduan dan contoh konfigurasi aturan

Panduan berikut mencakup konfigurasi umum aturan pemantauan. Aturan dapat menghasilkan false positive dengan menandai operasi sah sebagai mencurigakan—kolom terakhir tabel mencantumkan contoh aktivitas normal yang mungkin memicu peringatan.

Untuk meminimalkan false positive, lakukan peluncuran bertahap:

  • Pilot testing: Terapkan aturan baru terlebih dahulu pada sekelompok kecil mesin.

  • Close monitoring: Pantau event yang dipicu selama uji coba untuk memverifikasi akurasi aturan.

  • Iterative refinement: Tambahkan aturan daftar putih untuk operasi yang telah dikonfirmasi tidak berbahaya guna mengurangi kelelahan akibat peringatan berlebihan.

  • Full deployment: Setelah aturan stabil dengan false positive minimal, terapkan ke lebih banyak server.

Type

Description

Subtype

Actions

Example file paths

Potential false positives

Core system files

Direktori-direktori ini berisi perintah sistem dan pustaka bersama. Memantaunya membantu mendeteksi perubahan tidak sah seperti penempatan binary berbahaya atau modifikasi dependensi.

System executable binary directories

write, delete

  • /bin/*

  • /usr/bin/*

  • /sbin/*

  • /usr/sbin/*

Instalasi manajemen paket dan kompilasi dari source (make && make install) menulis ke direktori-direktori ini. Konfigurasikan aturan daftar putih untuk operasi tersebut.

Shared library directories

write, delete

  • /usr/lib/*

  • /usr/lib64/*

Configuration files

Penyerang memodifikasi file konfigurasi kritis untuk tujuan seperti:

  • Menambah atau mengubah akun pengguna guna mendapatkan atau meningkatkan akses sistem.

  • Memodifikasi pengaturan DNS untuk melakukan DNS hijacking.

  • Mengubah konfigurasi logging guna menghindari atau mengganggu audit.

  • Memodifikasi atau menonaktifkan pengaturan keamanan untuk mencapai tujuan mereka.

  • Merusak file konfigurasi aplikasi operasional untuk membajak proses otentikasi, melewati langkah-langkah keamanan, atau meningkatkan hak istimewa pengguna.

  • Memodifikasi file konfigurasi layanan web untuk memuat pustaka berbahaya atau mengubah aturan parsing guna mengarahkan traffic ke situs berbahaya.

User and permission files

write

  • /etc/passwd

  • /etc/shadow

  • /etc/group

  • /etc/gshadow

  • /etc/sudoers

  • /etc/sudoers.d/*

Perintah standar (useradd, usermod, userdel, passwd) menulis ke file-file ini. Tambahkan aturan daftar putih berdasarkan prosedur Anda, atau gunakan data peringatan untuk auditing.

Critical system configuration files

write, delete

  • /etc/resolv.conf

  • /etc/hosts

Perubahan rutin pada pengaturan jaringan, resolusi nama, atau parameter kernel akan memodifikasi file-file ini.

Configuration files for operational applications

write

  • /etc/ssh/sshd_config

  • /etc/security/pam_env.conf

  • /*/.ssh/authorized_keys

Maintenance sistem, penguatan keamanan, dan rotasi kunci dapat memodifikasi file-file ini. Konfigurasikan aturan daftar putih yang sesuai.

Security audit configuration files

write, delete

  • /etc/audit/auditd.conf

  • /etc/audit/rules.d/*

  • /etc/selinux/config

  • /etc/rsyslog.conf

  • /etc/rsyslog.d/*

Pengaturan awal framework audit atau penyesuaian kebijakan untuk kepatuhan akan memodifikasi file-file ini.

Web service configuration files

write

  • /etc/httpd/conf/httpd.conf

  • /etc/httpd/conf.d/*

  • /etc/apache2/apache2.conf

  • /etc/apache2/sites-available/*

  • /etc/apache2/sites-enabled/*

  • /etc/nginx/nginx.conf

  • /etc/nginx/conf.d/*

Pengaturan awal, perubahan modul, dan pembaruan layanan web akan memodifikasi file-file ini.

Database configuration files

write

  • /etc/my.cnf

  • /etc/mysql/my.cnf

  • /etc/postgresql/*/main/postgresql.conf

  • /etc/postgresql/*/main/pg_hba.conf

  • /etc/mongod.conf

  • /etc/redis/redis.conf

Instalasi layanan database dan perubahan operasional akan memodifikasi file-file ini. Tambahkan aturan daftar putih sesuai kebutuhan.

Common persistence locations

Penyerang menambahkan tugas terjadwal, layanan berbahaya, atau skrip startup untuk mempertahankan akses persisten setelah reboot atau selama eksekusi periodik.

Cron-related files

write

  • /etc/crontab

  • /etc/cron.d/*

  • /var/spool/cron

  • /etc/cron.hourly/*

  • /etc/cron.daily/*

  • /etc/cron.weekly/*

  • /etc/cron.monthly/*

Manajemen crontab normal akan memodifikasi file-file ini.

Service-related files

write

  • /etc/init.d/*

  • /etc/rc.d/rc.local

  • /etc/systemd/system/*

  • /lib/systemd/system/*

Instalasi aplikasi berbasis layanan dapat memodifikasi layanan sistem.

Shell configuration files

write

  • /*/.bashrc

  • /*/.bash_profile

  • /etc/profile

Staf operasional memodifikasi file-file ini untuk mengubah pengaturan lingkungan atau membuat alias perintah.

Web service code directories

Memantau direktori kode web membantu mendeteksi unggahan webshell dan perubahan tidak sah seperti perusakan halaman atau injeksi skrip. Penyerang mengeksploitasi kerentanan untuk mengunggah webshell guna mengakses server secara remote.

Web code directories

write, permission change

/var/www/html/<code dir>/*.php

Penerapan layanan, pembaruan plugin CMS, dan alat CI/CD (Jenkins, GitLab CI/CD, Ansible) menulis ke direktori-direktori ini. Konfigurasikan aturan proses tulis, kecualikan direktori unggah, atau batasi ekstensi file.

Files containing sensitive information

Kebocoran kredensial merupakan risiko besar. Setelah mendapatkan akses host, penyerang mencari kredensial untuk melakukan lateral movement. Memantau operasi baca pada file sensitif membantu mendeteksi aktivitas tersebut.

Cloud service CLI authentication information

read

  • /*/.aliyun/config.json

  • /*/.ossutilconfig

Aplikasi terkait membaca file-file ini secara sah — misalnya, Alibaba Cloud CLI membaca ~/.aliyun/config.json dan kubectl membaca ~/.kube/config. Pemindai keamanan juga mengaksesnya. Pertimbangkan operasi ini saat membuat aturan daftar putih Anda.

Version control authentication information

read

/*/.git-credentials

Database configuration

read

/*/config/database.yml

Private keys for operations and orchestration systems

read

/*/.ssh/id_rsa, /*/.kube/config

Konfigurasi notifikasi chatbot DingTalk

Konfigurasikan chatbot DingTalk untuk menerima peringatan ancaman Security Center secara real time di grup DingTalk.

Catatan

Notifikasi chatbot DingTalk hanya didukung pada edisi Enterprise dan Ultimate Security Center.

Prasyarat

Buat chatbot kustom di grup DingTalk target dan peroleh URL webhook-nya. Konfigurasikan kata kunci kustom di Security Settings yang sesuai dengan bahasa notifikasi:

  • Bahasa Tionghoa: 云安全中心

  • Indonesia: Keamanan

Prosedur

  1. Masuk ke Konsol Security Center.

  2. Di panel navigasi kiri, pilih System Settings > Notification Settings. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

  3. Di halaman Notification Settings, klik tab DingTalk Chatbot, lalu klik Add Chatbot.

  4. Di panel Add DingTalk Chatbot, konfigurasikan parameter dan klik Add.

    Parameter

    Description

    Example

    Chatbot Name

    Nama kustom untuk chatbot DingTalk.

    Core file alert notification

    Webhook URL

    URL webhook chatbot, diperoleh dari kelompok DingTalk.

    Penting

    Jaga kerahasiaan URL webhook. Kebocoran URL menimbulkan risiko keamanan.

    https://oapi.dingtalk.com/robot/send?access_token=XXXX

    Asset Groups

    Pilih kelompok aset dari halaman Assets di Security Center. Chatbot akan mengirimkan notifikasi untuk aset dalam kelompok yang dipilih.

    Alibaba Cloud

    Notify On

    Pilih jenis peringatan dan tingkat risiko untuk notifikasi. Jenis yang tersedia: Vulnerability, Baseline Check, Alert, AccessKey Leak Detection, Cloud Honeypot, Application Protection, Anti-ransomware, Core File Monitoring, dan Malicious File Detection.

    Core File Monitoring/Alert Level/Urgent

    Notification Interval

    Interval notifikasi. Opsi: 1, 5, 10, atau 30 menit. Pilihan “No limit” mengirim setiap notifikasi secara real time (maksimum 20 per menit per webhook).

    30

    Language

    Bahasa notifikasi: Chinese atau English.

    Chinese

    Chatbot secara default Enable. Security Center mengirim notifikasi sesuai kebijakan yang Anda konfigurasi.

  5. (Opsional) Temukan chatbot dalam daftar dan klik Test di kolom Actions untuk memverifikasi koneksi.

Topik terkait