Cara mengonfigurasi cakupan pemindaian peringatan dan aturan penanganan peringatan - Security Center

Fitur pengaturan peringatan memungkinkan Anda mengelola direktori web pada aset Anda dan mengonfigurasi aturan daftar putih peringatan. Hal ini membantu Anda membuat aturan perlindungan ancaman yang lebih detail halus serta mengelolanya secara terpusat, sehingga Anda dapat mendeteksi ancaman keamanan pada aset Anda secara cepat dan memantau status keamanannya secara real time. Topik ini menjelaskan cara mengonfigurasi direktori web kustom dan aturan penanganan peringatan.

Konfigurasikan aturan pembuatan peringatan

Beberapa peringatan bergantung pada pengaturan fitur sistem. Anda dapat mengelola aturan untuk fitur-fitur tersebut di halaman masing-masing:

Host Protection: Fitur seperti Malicious Behavior Defense, Approved Logon Management, dan Antivirus menghasilkan jenis peringatan seperti Precise Defense, Unusual Logon, Account Errors, dan Malicious Software.
Container Protection: Fitur seperti Proactive Defense for Containers dan Container File Protection menghasilkan jenis peringatan seperti Container Escape Prevention, Proactive Defense for Containers, dan Container Cluster Anomaly.
Feature Settings: Fitur seperti Host Protection Settings dan Container Protection Settings menghasilkan jenis peringatan seperti Precise Defense, Webshell, Container Escape Prevention, Container Cluster Anomaly, dan Suspicious Process Behavior.

Kelola direktori web kustom

Security Center secara otomatis mendeteksi direktori web pada server Anda dan melakukan pemindaian dinamis serta statis. Fitur ini tidak hanya secara otomatis menemukan dan memantau direktori web standar pada server Anda, tetapi juga memungkinkan Anda menambahkan direktori web kustom secara manual agar termasuk dalam sistem pemindaian dan perlindungan keamanan yang komprehensif.

Ketika peretas mencoba koneksi abnormal menggunakan web shell yang dikenal, Security Center secara aktif memblokir koneksi tersebut dan menghasilkan peringatan. Peringatan tersebut kemudian ditampilkan dalam daftar peringatan di halaman Alerts.

Manfaat

Menghilangkan titik buta keamanan: Aplikasi web, kode sumber website, atau file proyek mungkin diterapkan di jalur kustom non-standar, seperti /data/wwwroot/my_project atau /opt/app. Jalur-jalur ini mungkin terlewat oleh pemindaian otomatis biasa, sehingga menciptakan titik buta keamanan. Dengan menambahkan direktori kustom secara manual, Anda dapat memastikan semua aset web Anda berada di bawah pemantauan Security Center, terlepas dari lokasi penerapannya.
Meningkatkan presisi deteksi: Memfokuskan pemindaian hanya pada direktori web yang sebenarnya mengurangi pemindaian file non-web yang tidak perlu. Hal ini meningkatkan efisiensi dan akurasi deteksi.
Beradaptasi secara fleksibel dengan arsitektur bisnis Anda: Fitur ini sepenuhnya mendukung praktik penerapan server kustom dan Operasi & Pemeliharaan (O&M) Anda. Hal ini memastikan kebijakan keamanan Anda selaras erat dengan arsitektur bisnis Anda.

Catatan

Jangan menambahkan direktori root: Untuk memastikan kinerja server dan efisiensi pemindaian, jangan menambahkan direktori root server, seperti / untuk Linux atau C:\ untuk Windows, sebagai direktori web.
Catatan
Untuk memastikan kinerja dan efisiensi, Anda tidak dapat menambahkan direktori root sebagai direktori web.
Tambahkan jalur web spesifik: Tambahkan hanya jalur spesifik tempat aplikasi web Anda disimpan. Menambahkan direktori yang tidak relevan dapat menyebabkan false positive atau beban kinerja yang tidak perlu.

Prosedur

Masuk ke Security Center console. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda diterapkan: Chinese Mainland atau Outside Chinese Mainland.
Di panel navigasi sebelah kiri, pilih Detection and Response > Alert.
Catatan
Jika Anda telah mengaktifkan Agentic SOC, jalur di panel navigasi sebelah kiri berubah menjadi Agentic SOC > Alert.
Di halaman Alert, klik Cloud Workload Alert Management > Alert Settings di pojok kanan atas.
Di panel Alert Settings, klik Manage di bagian Custom Web Directory.
Di panel Custom Web Directory, konfigurasikan jalur dan informasi server.
- Masukkan jalur mutlak direktori web yang ingin Anda pantau, seperti /home/www/my_app.
- Pilih server tempat jalur tersebut berlaku.
Klik OK untuk menambahkan direktori.

Kelola aturan penanganan peringatan

Fitur manajemen aturan penanganan peringatan menyediakan antarmuka pengelolaan terpusat. Sistem secara otomatis menghasilkan aturan penanganan ketika Anda menangani peringatan keamanan dan memilih Add to Whitelist atau Defense Without Notification. Anda dapat menggunakan fitur ini untuk melihat, mengedit, dan menghapus aturan-aturan tersebut secara terpusat guna memastikan kebijakan keamanan Anda tetap efektif dan presisi.

Masuk ke Security Center console. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda diterapkan: Chinese Mainland atau Outside Chinese Mainland.
Di panel navigasi sebelah kiri, pilih Detection and Response > Alerts.
Catatan
Jika Anda telah mengaktifkan Agentic SOC, jalur di panel navigasi sebelah kiri berubah menjadi Agentic SOC > Alert.
Di halaman Alert, klik Cloud Workload Alert Management > Alert Settings di pojok kanan atas.
Di panel Alert Settings, klik tab Alert Handling Rule.
Di bagian Alert Handling Rule, Anda dapat Edit atau Delete aturan tujuan.
- Edit aturan penanganan peringatan
  1. Temukan aturan yang ingin diedit, lalu klik Edit di kolom Actions.
  2. Di panel Edit Rule, ubah server tempat aturan penanganan peringatan berlaku.
  3. Klik OK untuk menyimpan perubahan.
- Hapus aturan penanganan peringatan
  Penting
  Menghapus aturan akan melanjutkan perilaku deteksi dan peringatan default. Misalnya, setelah Anda menghapus aturan daftar putih, peringatan serupa yang sebelumnya diabaikan akan dihasilkan kembali. Sebelum menghapus aturan, pastikan Anda memahami dampaknya.
  1. Temukan aturan yang ingin dihapus, lalu klik Delete di kolom Actions.
  2. Klik OK untuk menghapus aturan.