Security Center memantau file kritis di server secara real time—melacak operasi baca, tulis, hapus, ganti nama, dan perubahan permission—serta memberikan peringatan jika terjadi potensi pencurian atau perubahan tidak sah. Topik ini mencakup praktik terbaik dalam mengonfigurasi aturan pemantauan dan menyiapkan notifikasi peringatan melalui chatbot DingTalk.
Host intrusion detection dan pemantauan file inti
Defense-in-depth merupakan praktik terbaik keamanan siber. Host intrusion detection mengidentifikasi aktivitas mencurigakan berdasarkan pola perilaku, sedangkan pemantauan file inti melengkapinya dengan mendeteksi perubahan tidak sah pada file dan direktori.
Kombinasi kedua fitur ini meningkatkan kemampuan deteksi terhadap ancaman kompleks. Selama insiden keamanan, peringatan dari pemantauan file inti membantu tim keamanan melacak aktivitas penyerang untuk respons insiden dan analisis forensik.
Pemantauan file inti juga mampu mendeteksi ancaman internal, seperti tindakan jahat dari dalam organisasi atau kesalahan operasional.
Panduan dan contoh konfigurasi aturan
Panduan berikut mencakup konfigurasi umum aturan pemantauan. Aturan dapat menghasilkan false positive dengan menandai operasi sah sebagai mencurigakan—kolom terakhir tabel mencantumkan contoh aktivitas normal yang mungkin memicu peringatan.
Untuk meminimalkan false positive, lakukan peluncuran bertahap:
-
Pilot testing: Terapkan aturan baru terlebih dahulu pada sekelompok kecil mesin.
-
Close monitoring: Pantau event yang dipicu selama uji coba untuk memverifikasi akurasi aturan.
-
Iterative refinement: Tambahkan aturan daftar putih untuk operasi yang telah dikonfirmasi tidak berbahaya guna mengurangi kelelahan akibat peringatan berlebihan.
-
Full deployment: Setelah aturan stabil dengan false positive minimal, terapkan ke lebih banyak server.
|
Type |
Description |
Subtype |
Actions |
Example file paths |
Potential false positives |
|
Core system files |
Direktori-direktori ini berisi perintah sistem dan pustaka bersama. Memantaunya membantu mendeteksi perubahan tidak sah seperti penempatan binary berbahaya atau modifikasi dependensi. |
System executable binary directories |
write, delete |
|
Instalasi manajemen paket dan kompilasi dari source ( |
|
Shared library directories |
write, delete |
|
|||
|
Configuration files |
Penyerang memodifikasi file konfigurasi kritis untuk tujuan seperti:
|
User and permission files |
write |
|
Perintah standar (useradd, usermod, userdel, passwd) menulis ke file-file ini. Tambahkan aturan daftar putih berdasarkan prosedur Anda, atau gunakan data peringatan untuk auditing. |
|
Critical system configuration files |
write, delete |
|
Perubahan rutin pada pengaturan jaringan, resolusi nama, atau parameter kernel akan memodifikasi file-file ini. |
||
|
Configuration files for operational applications |
write |
|
Maintenance sistem, penguatan keamanan, dan rotasi kunci dapat memodifikasi file-file ini. Konfigurasikan aturan daftar putih yang sesuai. |
||
|
Security audit configuration files |
write, delete |
|
Pengaturan awal framework audit atau penyesuaian kebijakan untuk kepatuhan akan memodifikasi file-file ini. |
||
|
Web service configuration files |
write |
|
Pengaturan awal, perubahan modul, dan pembaruan layanan web akan memodifikasi file-file ini. |
||
|
Database configuration files |
write |
|
Instalasi layanan database dan perubahan operasional akan memodifikasi file-file ini. Tambahkan aturan daftar putih sesuai kebutuhan. |
||
|
Common persistence locations |
Penyerang menambahkan tugas terjadwal, layanan berbahaya, atau skrip startup untuk mempertahankan akses persisten setelah reboot atau selama eksekusi periodik. |
Cron-related files |
write |
|
Manajemen crontab normal akan memodifikasi file-file ini. |
|
Service-related files |
write |
|
Instalasi aplikasi berbasis layanan dapat memodifikasi layanan sistem. |
||
|
Shell configuration files |
write |
|
Staf operasional memodifikasi file-file ini untuk mengubah pengaturan lingkungan atau membuat alias perintah. |
||
|
Web service code directories |
Memantau direktori kode web membantu mendeteksi unggahan webshell dan perubahan tidak sah seperti perusakan halaman atau injeksi skrip. Penyerang mengeksploitasi kerentanan untuk mengunggah webshell guna mengakses server secara remote. |
Web code directories |
write, permission change |
|
Penerapan layanan, pembaruan plugin CMS, dan alat CI/CD (Jenkins, GitLab CI/CD, Ansible) menulis ke direktori-direktori ini. Konfigurasikan aturan proses tulis, kecualikan direktori unggah, atau batasi ekstensi file. |
|
Files containing sensitive information |
Kebocoran kredensial merupakan risiko besar. Setelah mendapatkan akses host, penyerang mencari kredensial untuk melakukan lateral movement. Memantau operasi baca pada file sensitif membantu mendeteksi aktivitas tersebut. |
Cloud service CLI authentication information |
read |
|
Aplikasi terkait membaca file-file ini secara sah — misalnya, Alibaba Cloud CLI membaca |
|
Version control authentication information |
read |
|
|||
|
Database configuration |
read |
/ |
|||
|
Private keys for operations and orchestration systems |
read |
|
Konfigurasi notifikasi chatbot DingTalk
Konfigurasikan chatbot DingTalk untuk menerima peringatan ancaman Security Center secara real time di grup DingTalk.
Notifikasi chatbot DingTalk hanya didukung pada edisi Enterprise dan Ultimate Security Center.
Prasyarat
Buat chatbot kustom di grup DingTalk target dan peroleh URL webhook-nya. Konfigurasikan kata kunci kustom di Security Settings yang sesuai dengan bahasa notifikasi:
-
Bahasa Tionghoa: 云安全中心
-
Indonesia: Keamanan
Prosedur
-
Masuk ke Konsol Security Center.
-
Di panel navigasi kiri, pilih . Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
-
Di halaman Notification Settings, klik tab DingTalk Chatbot, lalu klik Add Chatbot.
-
Di panel Add DingTalk Chatbot, konfigurasikan parameter dan klik Add.
Parameter
Description
Example
Chatbot Name
Nama kustom untuk chatbot DingTalk.
Core file alert notification
Webhook URL
URL webhook chatbot, diperoleh dari kelompok DingTalk.
PentingJaga kerahasiaan URL webhook. Kebocoran URL menimbulkan risiko keamanan.
https://oapi.dingtalk.com/robot/send?access_token=XXXX
Asset Groups
Pilih kelompok aset dari halaman Assets di Security Center. Chatbot akan mengirimkan notifikasi untuk aset dalam kelompok yang dipilih.
Alibaba Cloud
Notify On
Pilih jenis peringatan dan tingkat risiko untuk notifikasi. Jenis yang tersedia: Vulnerability, Baseline Check, Alert, AccessKey Leak Detection, Cloud Honeypot, Application Protection, Anti-ransomware, Core File Monitoring, dan Malicious File Detection.
Core File Monitoring/Alert Level/Urgent
Notification Interval
Interval notifikasi. Opsi: 1, 5, 10, atau 30 menit. Pilihan “No limit” mengirim setiap notifikasi secara real time (maksimum 20 per menit per webhook).
30
Language
Bahasa notifikasi: Chinese atau English.
Chinese
Chatbot secara default Enable. Security Center mengirim notifikasi sesuai kebijakan yang Anda konfigurasi.
-
(Opsional) Temukan chatbot dalam daftar dan klik Test di kolom Actions untuk memverifikasi koneksi.
Topik terkait
-
Jika Anda perlu memastikan bahwa file atau direktori website Anda tidak dirusak, Anda dapat menggunakan fitur File tamper-proofing.