Cara mengaktifkan fitur pada tab Pengaturan Perlindungan Host - Security Center

Pusat Keamanan menyediakan berbagai fitur seperti Malicious Host Behavior Prevention, anti-ransomware, dan pencegahan webshell. Anda dapat mengaktifkan fitur-fitur ini untuk melindungi server Anda. Topik ini menjelaskan fitur yang dapat diaktifkan pada tab Pengaturan Perlindungan Host serta cara mengaktifkannya.

Pertahanan Proaktif

Ikhtisar

Pertahanan proaktif secara otomatis memblokir virus umum, koneksi jaringan jahat, dan koneksi webshell. Fitur ini juga memungkinkan penggunaan umpan untuk menangkap ransomware. Tabel berikut menjelaskan fitur dari pertahanan proaktif.

Fitur	Edisi yang didukung	Deskripsi
Malicious Host Behavior Prevention	Anti-virus, Tingkat Tinggi, Enterprise, dan Ultimate	Fitur Malicious Host Behavior Prevention dapat membantu Anda mendeteksi dan menghapus otomatis virus jaringan umum, seperti ransomware, DDoS trojan, program penambangan, trojan, program jahat, webshell, dan cacing komputer. Setelah Anda membeli Pusat Keamanan Anti-virus atau lebih tinggi, Pusat Keamanan secara otomatis mengaktifkan fitur Malicious Host Behavior Prevention untuk semua server Anda. Perbedaan fitur antar edisi Pusat Keamanan Pusat Keamanan Anti-virus dapat secara otomatis memblokir virus umum, seperti trojan dan program penambangan. Pusat Keamanan Tingkat Tinggi, Enterprise, dan Ultimate memberikan kemampuan pertahanan yang lebih komprehensif. Edisi-edisi ini secara efektif mencegat serangan umum dalam kerangka Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK), mencegat insiden intrusi skala besar pada layanan dan aplikasi umum, memblokir perilaku enkripsi ransomware umum, dan mendukung aturan kustom untuk melindungi host. Untuk informasi lebih lanjut tentang aturan pertahanan kustom, lihat Gunakan fitur manajemen aturan spesifik-host. Catatan Virus komputer adalah jenis program jahat. Virus tersebut dapat menulis kode jahat ke file program normal untuk dieksekusi. Hal ini menyebabkan sejumlah besar program normal terinfeksi dan terdeteksi sebagai host virus. Virus komputer membahayakan proses sistem. Jika proses sistem tiba-tiba dihentikan, risiko stabilitas sistem muncul. Pusat Keamanan tidak secara otomatis mengkarantina virus komputer. Anda harus menangani virus tersebut secara manual.
Anti-ransomware (Bait Capture)	Anti-virus, Tingkat Tinggi, Enterprise, dan Ultimate	Fitur ini menggunakan umpan untuk menangkap jenis ransomware baru dan menganalisis pola jenis ransomware baru tersebut untuk melindungi server Anda. File umpan yang dikonfigurasikan pada server Anda oleh Pusat Keamanan hanya digunakan untuk menangkap jenis ransomware baru. File-file tersebut tidak mengganggu layanan Anda. Anda dapat pergi ke halaman CTDR > Alert, klik tab CWPP, dan atur Alert Type ke Precision defense untuk melihat ransomware yang telah dihapus.
Webshell Prevention	Enterprise dan Ultimate	Setelah Anda mengaktifkan fitur ini, Pusat Keamanan secara otomatis memblokir koneksi mencurigakan yang dimulai oleh webshell yang dikenal dan mengkarantina file terkait. Anda dapat pergi ke halaman CTDR > Alert, klik tab CWPP, dan melihat peringatan terkait dan file yang dikarantina. Untuk informasi lebih lanjut, lihat Analisis dan penanganan peringatan keamanan dan Analisis dan penanganan peringatan keamanan. Catatan Setelah Anda membeli Pusat Keamanan Enterprise atau Ultimate, Pusat Keamanan secara otomatis mengaktifkan fitur pencegahan webshell untuk semua server Anda.
Malicious Network Behavior Prevention	Tingkat Tinggi, Enterprise, dan Ultimate	Setelah Anda mengaktifkan fitur ini, Pusat Keamanan mencegat perilaku jaringan abnormal antara server Anda dan sumber akses jahat yang diungkapkan. Ini memperkuat keamanan server Anda.
User Experience Optimization in Proactive Defense	Enterprise dan Ultimate	Setelah Anda mengaktifkan fitur ini, Pusat Keamanan mengumpulkan data kdump server Anda untuk analisis perlindungan ketika server tiba-tiba mati atau kemampuan pertahanan tidak tersedia. Ini terus meningkatkan kemampuan perlindungan Pusat Keamanan.

Catatan

Jika semua fitur di bagian Proactive Defense dinonaktifkan, Pusat Keamanan hanya akan mengirimkan peringatan saat virus terdeteksi. Anda harus masuk ke konsol Pusat Keamanan dan menangani peringatan secara manual. Kami merekomendasikan Anda mengaktifkan semua fitur di bagian Proactive Defense untuk memperkuat keamanan server. Untuk informasi lebih lanjut, lihat Analisis dan Penanganan Peringatan Keamanan.

Aktifkan fitur pertahanan proaktif

Masuk ke Konsol Pusat Keamanan. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.
Di panel navigasi sisi kiri, pilih System Settings > Feature Settings.
Di tab Settings > Host Protection Settings, aktifkan Malicious Host Behavior Prevention, Anti-ransomware (Bait Capture), Webshell Prevention, dan Malicious Network Behavior Prevention di bagian Proactive Defense.
Setelah mengaktifkan semua saklar di bagian Proactive Defense, Pusat Keamanan mengaktifkan fitur berikut untuk server Anda: pencegahan perilaku host jahat, anti-ransomware, pencegahan webshell, dan perlindungan terhadap akses jahat.
Klik Manage di sebelah kanan setiap fitur untuk mengonfigurasi ruang lingkup deteksi. Di panel yang muncul, pilih server untuk mana Anda ingin mengaktifkan fitur dan klik OK.
Setelah mengaktifkan Malicious Host Behavior Prevention, Anti-ransomware (Bait Capture), Webshell Prevention, dan Malicious Network Behavior Prevention di bagian Pertahanan Proaktif, Pusat Keamanan secara otomatis memblokir program dan proses terkait virus yang terdeteksi serta mencegat koneksi mencurigakan.
Opsional. Pilih User Experience Optimization in Proactive Defense.
Setelah memilih User Experience Optimization in Proactive Defense, Pusat Keamanan mengumpulkan data server yang mencerminkan keamanan server dalam kasus pengecualian. Kami merekomendasikan Anda memilih Optimasi Pengalaman Pengguna dalam Pertahanan Proaktif untuk memperkuat keamanan server Anda.

Apa yang harus dilakukan selanjutnya

Anda dapat pergi ke halaman CTDR > Alert, klik tab CWPP, dan melihat virus yang dikarantina oleh pertahanan proaktif dalam daftar precision defense. Untuk melihat virus, pilih Handled dari daftar drop-down status dan klik Precision defense di bawah Alert Type. 精准防御

Catatan

Positif palsu atau kegagalan karantina mungkin terjadi setelah mengaktifkan Malicious Host Behavior Prevention, Anti-ransomware (Bait Capture), dan Webshell Prevention.

Jika beberapa file dikarantina karena positif palsu, Anda dapat memulihkan file tersebut di panel File yang Dikarantina. Untuk informasi lebih lanjut, lihat Analisis dan Penanganan Peringatan Keamanan.
Anda dapat pergi ke halaman CTDR > Alert, klik tab CWPP, dan mengkarantina file yang gagal dikarantina oleh Pusat Keamanan secara manual. Untuk informasi lebih lanjut, lihat Analisis dan Penanganan Peringatan Keamanan.

Pendeteksian dan Penghapusan Webshell

Fitur pendeteksian dan penghapusan webshell menggunakan mesin yang dikembangkan oleh Alibaba Cloud untuk memindai file webshell umum, mendukung tugas pemindaian terjadwal, memberikan perlindungan real-time, dan memungkinkan Anda mengkarantina file webshell dengan satu klik. Fitur ini memindai server dan direktori web untuk webshell dan trojan secara berkala. Pusat Keamanan menjalankan tugas pendeteksian webshell pada server Anda dan menghasilkan peringatan hanya setelah Anda mengaktifkan pendeteksian dan penghapusan webshell untuk server Anda. Daftar berikut menjelaskan cara webshell dideteksi dan dihapus:

Melakukan deteksi statis dengan memindai seluruh Direktori Web setiap hari tengah malam. Deteksi dinamis dipicu ketika terjadi perubahan pada file Direktori Web.
Mendukung konfigurasi ruang lingkup aset untuk pendeteksian webshell.
Mendukung isolasi, pemulihan, dan pengabaian file webshell yang terdeteksi.

Catatan

Pusat Keamanan Basic hanya mendeteksi beberapa jenis webshell. Jika Anda ingin mendeteksi semua jenis webshell, kami merekomendasikan Anda meningkatkan Pusat Keamanan Basic ke edisi Anti-virus, Tingkat Tinggi, Enterprise, atau Ultimate. Untuk informasi lebih lanjut, lihat Tingkatkan dan Turunkan Spesifikasi Pusat Keamanan.

Aktifkan pendeteksian dan penghapusan webshell untuk server

Pusat Keamanan secara default mengaktifkan fitur pendeteksian dan penghapusan webshell untuk server di mana agen Pusat Keamanan telah diinstal. Kami merekomendasikan Anda mengaktifkan fitur ini untuk server yang menyediakan layanan web publik. Jika server Anda sepenuhnya terisolasi dari internet, Anda dapat mengikuti langkah-langkah berikut untuk menonaktifkan fitur pendeteksian dan penghapusan webshell untuk server Anda.

Masuk ke Konsol Pusat Keamanan. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.
Di panel navigasi sisi kiri, pilih System Settings > Feature Settings.
Di tab Settings > Host Protection Settings, klik Manage di bagian Webshell Detection and Removal.
Di panel Configure Servers for Webshell Detection and Removal, hapus server untuk mana Anda ingin menonaktifkan pendeteksian dan penghapusan webshell dan klik OK.

Tangani peringatan webshell

Setelah mengaktifkan pendeteksian dan penghapusan webshell untuk server Anda, Anda dapat melihat peringatan dengan jenis Webshell di tab CWPP pada halaman CTDR > Alert ketika Pusat Keamanan mendeteksi ancaman keamanan seperti file webshell pada server Anda. Jika Anda tidak menangani peringatan tersebut, peringatan tersebut dapat menimbulkan ancaman bagi server Anda. Kami merekomendasikan Anda menangani peringatan tersebut secepat mungkin.

Catatan

Fitur penanganan peringatan webshell satu klik tidak tersedia di edisi Basic Pusat Keamanan. Pengguna edisi Anti-virus atau lebih tinggi dapat mengisolasi file webshell yang terdeteksi dengan satu klik di konsol. Untuk informasi lebih lanjut, lihat Analisis dan Penanganan Peringatan Keamanan.

Kemampuan Deteksi Ancaman Adaptif Dinamis

Secara default, fitur deteksi ancaman adaptif dinonaktifkan. Anda harus mengaktifkan fitur ini secara manual. Jika Pusat Keamanan mendeteksi intrusi berisiko tinggi pada server Anda setelah fitur deteksi ancaman adaptif diaktifkan, Pusat Keamanan secara otomatis mengaktifkan mode peringatan ketat untuk server Anda selama tujuh hari. Dalam mode ini, semua aturan perlindungan dan mesin keamanan diaktifkan untuk mendeteksi intrusi secara lebih komprehensif.

Catatan

Jika Anda secara manual mengonfigurasi mode perlindungan untuk server Anda selama periode tujuh hari, server akan beroperasi dalam mode perlindungan yang dikonfigurasi. Setelah periode tujuh hari berakhir, mode peringatan ketat tidak secara otomatis dinonaktifkan, dan server terus beroperasi dalam mode perlindungan yang Anda konfigurasi.

Batasan

Persyaratan Edisi

Langganan: Enterprise atau Ultimate (Anda harus meningkatkan jika Anda menggunakan edisi yang lebih rendah).
Catatan
Edisi perlindungan untuk server harus diatur ke Enterprise atau Ultimate. Untuk informasi lebih lanjut, lihat Pasang Edisi Perlindungan ke Server.
Bayar Sesuai Pemakaian: Metode penagihan bayar sesuai pemakaian harus diaktifkan untuk Host and Container Security. Jika metode penagihan ini belum diaktifkan, lihat Pembelian.
Catatan
Tingkat perlindungan server harus diatur ke Host Protection atau Host and Container Protection. Untuk informasi lebih lanjut, lihat Pasang Tingkat Perlindungan ke Server.

Aktifkan deteksi ancaman adaptif

Masuk ke Konsol Pusat Keamanan. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.
Di panel navigasi sisi kiri, pilih System Settings > Feature Settings.
Di tab Settings > Host Protection Settings, aktifkan Dynamic Adaptive Threat Detection di bagian Adaptive Threat Detection Capability.
Catatan
Jika Anda belum memberikan otorisasi kepada Pusat Keamanan untuk mengakses sumber daya cloud Anda, Anda harus menyelesaikan otorisasi dengan mengikuti petunjuk di layar. Dengan cara ini, Pusat Keamanan diberi otorisasi untuk mengakses sumber daya cloud Anda. Setelah otorisasi berhasil, Resource Access Management (RAM) secara otomatis membuat peran terkait layanan bernama AliyunServiceRoleForSas. Pusat Keamanan dapat mengasumsikan peran ini untuk mengakses sumber daya cloud Anda dan melindungi sumber daya tersebut. Untuk informasi lebih lanjut, lihat Peran Terkait Layanan untuk Pusat Keamanan.

Pengaturan Peringatan

Pusat Keamanan mendukung mode peringatan yang berbeda untuk server guna memenuhi persyaratan keamanan Anda dalam skenario yang berbeda. Secara default, Pusat Keamanan mengaktifkan Balanced Mode untuk semua server yang ditambahkan ke Pusat Keamanan. Dalam mode ini, Pusat Keamanan mencoba mendeteksi sebanyak mungkin risiko sambil meminimalkan tingkat positif palsu. Mode ini telah diuji oleh para ahli Alibaba Cloud.

Ubah mode peringatan

Jika Anda ingin mendeteksi risiko pada server dengan cara yang lebih ketat, Anda dapat mengubah mode peringatan menjadi Strict Mode untuk server tersebut.

Penting

Setelah Strict Mode diaktifkan, Alibaba Cloud mendeteksi perilaku mencurigakan lebih banyak dan menghasilkan peringatan. Namun, tingkat positif palsu lebih tinggi dalam mode ini. Kami merekomendasikan Anda mengaktifkan mode ini selama acara besar.

Masuk ke Konsol Pusat Keamanan. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.
Di panel navigasi sisi kiri, pilih System Settings > Feature Settings.
Di tab Settings > Host Protection Settings, klik Manage di sebelah kanan Aset yang Dilindungi untuk Strict Mode di bagian Alert Settings.
Pilih server untuk mana Anda ingin mengaktifkan Strict Mode dan klik OK.

Referensi

Jika Anda perlu membuat aturan pertahanan perilaku jahat host spesifik yang berbeda untuk server yang berbeda, Anda dapat mengaktifkan fitur pertahanan perilaku jahat dari Pusat Keamanan.
Analisis dan Penanganan Peringatan Keamanan.