全部产品
Search

搜索本产品

    Security Center:Pemindaian kerentanan

    文档中心

    Security Center:Pemindaian kerentanan

    更新时间:Dec 19, 2025

    Kerentanan keamanan merupakan vektor utama serangan siber dan dapat menyebabkan pelanggaran data atau gangguan bisnis. Security Center menyediakan pemindaian kerentanan untuk mendeteksi Linux Software Vulnerability, Windows System Vulnerability, Web-CMS Vulnerability, Application Vulnerability, dan Urgent Vulnerability pada aset Anda. Fitur ini membantu Anda mengidentifikasi dan memperbaiki risiko sebelum terjadi serangan, sehingga memperkuat postur keamanan Anda.

    Mekanisme pemindaian kerentanan

    Security Center menggunakan dua metode deteksi:

    • Software composition analysis (deteksi pasif): Agen Security Center mengumpulkan informasi mengenai versi perangkat lunak dan pustaka dependensi dari server Anda, lalu membandingkannya dengan basis data kerentanan. Proses ini hanya menganalisis metadata perangkat lunak dan tidak memengaruhi kinerja sistem bisnis Anda.

    • Web scanner (validasi aktif): Web scanner mengirim permintaan proof-of-concept (POC) tertentu ke layanan aplikasi Anda dari internet, mensimulasikan perilaku serangan untuk mengonfirmasi adanya kerentanan. Metode ini dapat mendeteksi kerentanan berisiko tinggi seperti remote command execution dan SQL injection. Semua permintaan tersebut merupakan probe yang tidak berbahaya dan tidak menyebabkan kerusakan aktual pada sistem Anda.

      Catatan

      Web scanner saat ini tidak didukung untuk aset di wilayah Outside Chinese Mainland yang di-hosting di pusat data Singapura.

    Catatan penggunaan

    • Subscription

      Edition

      Manual scan

      Automatic (periodic) scan

      Enterprise dan Ultimate

      Semua

      Advanced

      Semua kerentanan kecuali Application Vulnerability.

      Basic, Value-added Plan, dan Anti-virus

      Hanya Urgent Vulnerability.

      Linux Software Vulnerability, Windows System Vulnerability, dan Web-CMS Vulnerability

    • Pay-as-you-go

      Protection Level

      Manual scan

      Automatic (periodic) scan

      Host Protection dan Hosts and Container Protection

      Semua

      Unprotected dan Antivirus

      Hanya Urgent Vulnerability.

      Linux Software Vulnerability, Windows System Vulnerability, dan Web-CMS Vulnerability

    Konfigurasikan daftar putih jaringan

    Untuk memastikan web scanner dapat mengakses server Anda dan melakukan validasi aktif (POC), tambahkan rentang alamat IP pemindaian Security Center 47.110.180.32/27 (yaitu 47.110.180.32 hingga 47.110.180.63) ke daftar putih grup keamanan dan firewall jaringan Anda.

    Penting

    • Jika Anda tidak menambahkan alamat IP pemindaian Security Center ke daftar putih, permintaan validasi aktif dari web scanner mungkin diblokir. Hal ini dapat mencegah deteksi Application Vulnerability dan Urgent Vulnerability atau menyebabkan permintaan tersebut salah dilaporkan sebagai serangan.

    • Permintaan validasi POC mungkin berisi domain bantu s0x.cn, yang digunakan untuk deteksi Application Vulnerability dan Urgent Vulnerability. Jika hal ini memicu peringatan, Anda dapat mengabaikan peringatan tersebut atau membuat aturan daftar putih peringatan.

    Konfigurasikan grup keamanan

    Jika server Anda merupakan Instance ECS, lihat Manage security groups untuk langkah-langkah detailnya. Gunakan parameter berikut:

    • Direction: Inbound

    • Action: Allow

    • Protocol Type: TCP

    • Port Range: 1-65535

    • Source: 47.110.180.32/27

    Konfigurasikan daftar putih firewall

    Jika server Anda menggunakan Web Application Firewall (WAF), lihat Configure whitelist rules to allow specific requests untuk langkah-langkah detailnya. Gunakan parameter berikut:

    • Match Field: IP

    • Logic: Belongs to

    • Match Content: 47.110.180.32/27

    • Detection Modules to Skip: All

    Jalankan pemindaian kerentanan

    Security Center menyediakan dua metode pemindaian:

    • Manual scan: Gunakan ini untuk segera menilai status kerentanan server Anda.

    • Automatic (periodic) scan: Atur tugas berulang untuk pemantauan kerentanan otomatis dan berkelanjutan.

    Catatan

    Setelah pemindaian dimulai, sistem akan membuat tugas pemindaian dan menjalankannya di latar belakang. Anda dapat melihat progres dan hasil pemindaian di Task Management.

    Manual scan

    1. Log on to the console

      Login ke Konsol Security Center. Di panel navigasi sebelah kiri, pilih Risk Governance > Vulnerabilities. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Run a scan

      Di halaman Vulnerabilities, klik Quick Scan untuk memindai semua server. Di kotak dialog Vulnerability Scan yang muncul, pilih jenis kerentanan yang ingin dipindai, lalu klik OK.

      Catatan

      Untuk memindai server tertentu, buka halaman Host dan pilih server yang diinginkan. Di panel bagian bawah halaman, klik Security Check, lalu pilih Vulnerabilities di kotak dialog.

    Automatic (periodic) scan

    Pemindaian otomatis menggunakan dua metode penjadwalan berbeda:

    • Siklus default (tidak dapat dikonfigurasi)

      • Kerentanan yang berlaku: Linux Software Vulnerability, Windows System Vulnerability, dan Web-CMS Vulnerability.

      • Siklus pemindaian default:

        • Subscription

          • Advanced, Enterprise, dan Ultimate: Sekali per hari.

          • Basic, Value-added Plan, dan Anti-virus: Sekali setiap dua hari.

        • Pay-as-you-go

          • Host Protection dan Hosts and Container Protection: Sekali per hari.

          • Unprotected dan Antivirus: Sekali setiap dua hari.

    • User-defined cycle

      • Kerentanan yang berlaku: Application Vulnerability dan Urgent Vulnerability.

      • Edition yang berlaku:

        • Subscription: Advanced, Enterprise, dan Ultimate.

        • Pay-as-you-go: Host Protection dan Hosts and Container Protection.

    Ikuti langkah-langkah berikut untuk mengonfigurasi pemindaian:

    1. Log on to the console

      Login ke Konsol Security Center. Di panel navigasi sebelah kiri, pilih Risk Governance > Vulnerabilities. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Di halaman Vulnerabilities, klik Vulnerability Settings di pojok kanan atas. Konfigurasikan pengaturan sesuai kebutuhan:

      Setting

      Description

      Vulnerability scan switch

      Mengaktifkan atau menonaktifkan pemindaian untuk berbagai jenis kerentanan (Linux Software Vulnerability, Windows System Vulnerability, Web-CMS Vulnerability, Application Vulnerability, dan Urgent Vulnerability). Setelah mengaktifkan sakelar, Anda dapat mengklik Manage untuk menentukan cakupan pemindaian (server yang efektif) untuk jenis kerentanan tersebut.

      YUM/APT Source Configuration

      Jika diaktifkan, sumber YUM/APT resmi Alibaba Cloud akan diprioritaskan untuk memperbaiki kerentanan Linux, sehingga secara signifikan meningkatkan keberhasilan remediasi.

      Urgent Vulnerability Scan Cycle

      Menetapkan frekuensi eksekusi tugas pemindaian kerentanan mendesak.

      • Jendela pemindaian default:

        • Chinese Mainland: 00:00:00 (UTC+8) hingga 07:00:00 (UTC+8).

        • Outside Chinese Mainland: 00:00:00 (UTC+7) hingga 07:00:00 (UTC+7).

      • Edition/tingkat perlindungan yang berlaku:

        • Subscription: Advanced, Enterprise, dan Ultimate.

        • Pay-as-you-go: Host Protection dan Hosts and Container Protection.

      Application Vulnerability Scan Cycle

      Menetapkan frekuensi eksekusi tugas pemindaian kerentanan aplikasi.

      • Jendela pemindaian default:

        • Chinese Mainland: 00:00:00 (UTC+8) hingga 07:00:00 (UTC+8).

        • Outside Chinese Mainland: Menggunakan mekanisme penjadwalan bertahap untuk menjalankan pemindaian pada waktu berbeda dalam periode 24 jam.

      • Edition/tingkat perlindungan yang berlaku:

        • Subscription: Enterprise dan Ultimate.

        • Pay-as-you-go: Host Protection dan Hosts and Container Protection.

      Retain Invalid Vulnerabilities For

      Menetapkan periode pembersihan data untuk kerentanan usang.

      Sistem akan menandai kerentanan yang tidak muncul kembali dan belum ditangani dalam waktu lama sebagai "usang" dan secara otomatis mengarsipkannya ke daftar "Handled". Setelah periode pembersihan yang dikonfigurasi berakhir, sistem akan menghapusnya secara permanen untuk mengurangi kebisingan informasi.

      Catatan

      Jika Security Center mendeteksi jenis kerentanan yang sama di masa depan, peringatan baru tetap akan dihasilkan.

      Vulnerability Scan Level

      Menetapkan tingkat risiko kerentanan yang akan dipindai. Sistem hanya akan memindai dan melaporkan kerentanan yang sesuai dengan tingkat yang dipilih.

      Vulnerability Whitelist Settings

      Tambahkan kerentanan tertentu yang telah Anda konfirmasi tidak perlu ditangani (misalnya karena kebutuhan bisnis khusus atau risiko yang dapat diterima) ke daftar putih. Kerentanan ini akan diabaikan secara otomatis dalam pemindaian selanjutnya.

      Catatan

      Setelah menambahkan aturan daftar putih kerentanan, Anda dapat mengelolanya (mengedit atau menghapus) di bawah Vulnerability Whitelist Settings di panel Vulnerability Settings.

    Lihat tugas pemindaian

    1. Di halaman Vulnerabilities, klik Task Management di pojok kanan atas.

    2. Di kolom Actions suatu tugas, klik Details untuk melihat data dampak tugas pemindaian, termasuk Affected Servers, Successful Servers, dan Failed Servers.

    3. Untuk server yang berhasil dipindai, Anda dapat melihat cakupan kerentanan yang dipindai di kolom Status. Jika pemindaian gagal, Anda dapat melihat alasan kegagalannya di kolom Status.

    Lihat dan tangani kerentanan

    Di halaman Vulnerabilities, navigasikan ke tab jenis kerentanan yang diinginkan, buka halaman detail kerentanan tertentu, lalu ikuti petunjuk untuk memperbaikinya. Untuk langkah remediasi, lihat View and handle vulnerabilities.

    Peringatan

    Application Vulnerability dan Urgent Vulnerability tidak mendukung remediasi satu-klik dari konsol. Anda harus login ke server dan memperbaikinya secara manual sesuai saran dalam detail kerentanan.

    Service Model

    Service Edition / Protection Level

    Description

    Subscription

    Enterprise dan Ultimate

    Mendukung perbaikan Linux Software Vulnerability, Windows System Vulnerability, dan Web-CMS Vulnerability.

    Advanced

    Mendukung perbaikan Linux Software Vulnerability dan Windows System Vulnerability.

    Basic, Value-added Plan, dan Anti-virus

    Penting

    Untuk mengaktifkan fitur remediasi satu-klik, Anda harus membeli layanan tambahan Vulnerability Fix. Untuk petunjuknya, lihat Purchase Security Center.

    Mendukung perbaikan Linux Software Vulnerability dan Windows System Vulnerability.

    Pay-as-you-go

    All protection levels

    Batasan

    • Manajemen tugas: Setelah membuat tugas pemindaian manual, Anda harus menunggu 15 menit sebelum dapat menghentikan pemindaian dari halaman Task Management.

    • Durasi pemindaian: Waktu yang diperlukan untuk menyelesaikan pemindaian bergantung pada jumlah aset dan kompleksitas kerentanan. Pemindaian biasanya selesai dalam waktu 30 menit.

    FAQ

    Perilaku dan hasil pemindaian

    • Mengapa server yang sama melaporkan beberapa instance kerentanan yang sama?

      Deteksi Application Vulnerability menargetkan instance proses yang sedang berjalan. Jika sebuah server menjalankan beberapa instance proses dengan kerentanan yang sama (misalnya, dua layanan Tomcat identik yang dijalankan pada port berbeda), sistem akan melaporkan kerentanan terpisah untuk setiap instance proses. Jika perangkat lunak yang rentan diinstal tetapi tidak berjalan, Security Center tidak akan mendeteksi kerentanan tersebut.

    • Mengapa hasil pemindaian kerentanan seperti Fastjson kadang-kadang berbeda?

      Deteksi kerentanan semacam ini bergantung pada apakah komponennya (seperti paket JAR) dimuat ke dalam status "runtime" selama pemindaian. Dalam model pemuatan dinamis, Security Center hanya dapat mendeteksi kerentanan ketika logika bisnis memanggil komponen yang rentan. Oleh karena itu, hasil pemindaian dapat berbeda pada waktu yang berbeda.

      Catatan

      Untuk meningkatkan akurasi deteksi kerentanan jenis ini, kami merekomendasikan menjalankan pemindaian berkala atau beberapa kali.

    • Setelah agen offline, mengapa konsol masih menampilkan catatan kerentanan untuk host tersebut?

      Setelah agen offline, Security Center menyimpan catatan kerentanan yang terdeteksi di konsol. Namun, catatan tersebut secara otomatis menjadi usang dan Anda tidak dapat melakukan tindakan apa pun terhadapnya, seperti memperbaiki, memverifikasi, atau menghapusnya. Periode kedaluwarsa otomatis untuk kerentanan adalah sebagai berikut:

      Penting

      Security Center hanya akan menghapus semua data secara permanen jika layanan Security Center kedaluwarsa dan tidak diperpanjang dalam waktu 7 hari.

      • Linux Software Vulnerability dan Windows System Vulnerability: Menjadi usang setelah 3 hari.

      • Web-CMS Vulnerability: Menjadi usang setelah 7 hari.

      • Application Vulnerability: Menjadi usang setelah 30 hari.

      • Urgent Vulnerability: Menjadi usang setelah 90 hari.

    Dampak kinerja dan keamanan

    • Apakah pemindaian kerentanan atau validasi aktif (POC) untuk kerentanan mendesak memengaruhi sistem bisnis?

      Umumnya, tidak ada dampak. Validasi aktif (POC) Security Center hanya mengirimkan jumlah permintaan probe yang sangat kecil (1–2) dan tidak berbahaya, serta tidak melakukan bentuk serangan atau tindakan merusak apa pun. Dalam kasus langka, risiko minimal mungkin terjadi jika aplikasi target sangat rapuh dalam menangani input yang tidak terduga.

    • Mengapa pemindaian kerentanan terkadang memicu error out-of-memory (OOM)?

      Agen Security Center memiliki batas memori yang dikonfigurasi (200 MB secara default). Jika pemindaian melebihi batas ini, mekanisme OOM sistem akan secara proaktif menghentikan proses deteksi (ALiSecCheck) untuk menghemat sumber daya.

      Catatan

      • Batas ini biasanya dikelola oleh control group (cgroup) bernama aegisRtap0. Informasi OOM terkait dapat ditemukan di log dmesg.

      • Perilaku ini normal dan tidak terkait dengan kekurangan memori sistem secara keseluruhan. Tidak diperlukan intervensi pengguna.

      • Error OOM ini disebabkan oleh batas memori cgroup dan tidak menunjukkan bahwa seluruh sistem kehabisan memori.

    Cakupan dan kemampuan pemindaian

    1. Apa cakupan pemindaian kerentanan?

      Pemindaian mencakup lapisan sistem dan aplikasi:

      • Tingkat sistem: Linux software vulnerability dan Windows system vulnerability.

        Penting

        Pemindaian Windows system vulnerability terbatas pada patch pembaruan keamanan bulanan.

      • Lapisan aplikasi: Web-CMS vulnerability, Application vulnerability, dan Urgent vulnerability.

    2. Bagaimana cara melihat daftar kerentanan yang dapat dideteksi oleh Security Center?

      1. Login ke Konsol Security Center.

      2. Di panel navigasi sebelah kiri, klik Vulnerabilities untuk menuju halaman pemindaian kerentanan. Di bagian ikhtisar, temukan kartu statistik Disclosed Vulnerabilities.

      3. Klik jumlah total kerentanan pada kartu tersebut untuk membuka halaman daftar, tempat Anda dapat melihat semua kerentanan yang didukung beserta detailnya.

    3. Apakah Security Center mendukung deteksi kerentanan spesifik seperti Elasticsearch?

      Ya. Anda dapat melihat hasil deteksi kerentanan pada layanan seperti Elasticsearch di halaman Application Vulnerability di konsol.

      Catatan

      Fitur ini hanya tersedia untuk layanan Subscription (Enterprise dan Ultimate) dan layanan Pay-as-you-go (Host Protection dan Hosts and Container Protection). Jika edisi Anda saat ini tidak mendukung fitur ini, silakan upgrade terlebih dahulu.