Security Center的訊息通知預設支援DingTalk機器人。如果需要通過飛書或企業微信接收Security Center的警示通知,可以藉助CloudMonitor的事件訂閱功能,將Security Center產生的警示事件轉寄至飛書群或企業微信群。
方案概述
Security Center支援將安全警示推送至CloudMonitor,CloudMonitor再通過事件訂閱將警示轉寄至飛書或企業微信。整體配置流程如下:
開啟CloudMonitor推送:在Security Center的通知設定中開啟CloudMonitor推送開關,選擇需要推送的警示類型。
建立訊息機器人:在飛書或企業微信中建立自訂機器人,擷取Webhook地址。
建立CloudMonitor警示聯絡組:
在CloudMonitor中建立警示連絡人,將Webhook地址綁定到連絡人。
在CloudMonitor中將綁定了Webhook的警示連絡人加入警示聯絡組。
建立CloudMonitor通知配置:在CloudMonitor中建立通知策略,關聯警示聯絡組,定義通知對象。
配置CloudMonitor事件訂閱:建立事件訂閱策略,指定訂閱Security Center的系統事件,並關聯通知配置。
步驟1:在Security Center開啟CloudMonitor推送
在Security Center開啟CloudMonitor推送功能,使Security Center的警示事件能夠被CloudMonitor接收。
只有在Security Center開啟CloudMonitor推送後,CloudMonitor才能接收到對應的警示資料。
訪問Security Center控制台-系統設定-通知設定,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
在云监控推送頁簽,根據需要勾選通知專案。各通知專案的說明如下表所示。
通知專案
推送頻率
說明
安全事件
推送結果明細:無限制
檢測到的安全攻擊事件,例如DDoS攻擊、暴力破解等。
安全警示
推送結果明細:無限制
主機或容器中檢測到的威脅警示,例如異常登入、惡意進程等。
基準檢查
推送結果匯總:每周四固定發送一次。
安全基準檢查匯總結果的通知。
雲安全態勢管理
推送結果匯總:每周四固定發送一次。
雲平台配置風險的檢查匯總結果通知。
無代理檢測
推送結果明細:可自訂選擇。
無需安裝Agent的安全檢測結果通知。
恶意文件
推送結果明細:可自訂選擇。
通過惡意檔案檢測SDK檢出的惡意檔案通知。
漏洞
推送結果匯總:每周四固定發送一次。
推送結果明細:可自訂選擇。
系統漏洞和應用漏洞的檢測結果和匯總通知。
應用防護
推送結果明細:可自訂選擇。
應用運行時防護(RASP)的警示通知。
步驟2:建立訊息機器人
根據實際需求,在飛書或企業微信中建立自訂機器人,擷取Webhook地址。該地址將在步驟3中配置到CloudMonitor的警示連絡人中。
建立飛書機器人
以PC版飛書為例,介紹建立飛書自訂機器人的操作方法。
開啟並登入飛書。單擊飛書群右側的
表徵圖,然後單擊群機器人。在群機器人面板單擊添加機器人,然後選擇自訂機器人。
在機器人配置頁,設定機器人名稱(如CloudMonitor警示通知),然後單擊添加。
複製Webhook地址,然後選中自訂關鍵詞並輸入關鍵詞,如:警示、CloudMonitor、Security Center。
重要飛書機器人要求訊息內容必須包含至少一個自訂關鍵詞,否則訊息將被攔截。建議添加多個關鍵詞以確保警示訊息能正常接收。
請妥善儲存Webhook地址,後續配置CloudMonitor警示連絡人時需要使用。
建立企業微信機器人
以手機版企業微信為例,介紹建立企業微信自訂機器人的操作方法。
開啟並登入企業微信。
單擊企業微信群右上方的
表徵圖,然後單擊群機器人。在群機器人頁面,單擊添加機器人。
在添加機器人頁面,設定自訂機器人名稱(如CloudMonitor警示通知),然後單擊添加。
在添加完成頁,單擊複製,儲存企業微信機器人的Webhook地址。
重要請妥善儲存Webhook地址,後續配置CloudMonitor警示連絡人時需要使用。
步驟3:在CloudMonitor中配置通知策略
在CloudMonitor中建立警示連絡人,並將步驟二中擷取的Webhook地址綁定到該連絡人,並將其加入警示聯絡組。使CloudMonitor能夠通過該地址向飛書或企業微信發送警示通知。
建立警示連絡人
登入CloudMonitor控制台,在左側導覽列,選擇
在警示連絡人頁簽,單擊建立連絡人。
在設定警示連絡人面板,參考如下說明完成配置。
姓名:如飛書機器人或企業微信機器人。
釘釘|飛書|企微|Slack Webhook(http|https):粘貼步驟二中擷取的Webhook地址。該輸入框為統一的Webhook地址欄,飛書和企業微信的Webhook地址均填寫在此處。
(可選)測試Webhook連通性:單擊Webhook輸入框右側的測試按鈕,查看返回的狀態代碼,狀態代碼200表示連通正常。
資訊驗證無誤後,單擊確認。
建立警示連絡人群組
切換至警示聯絡組頁簽,單擊建立聯絡組。
在建立聯絡組面板,參考如下說明完成配置後,單擊確認。
組名:警示聯絡組的組名,如飛書機器人組或企業微信機器人組。
選擇連絡人:選擇上一步建立的警示連絡人。
建立通知配置
左側導覽列,選擇
單擊創建策略,參考如下說明完成配置後,單擊確定。
名稱:通知策略的名稱。例如:Security Center警示通知。
通知設置:選擇直接設置通知組。
聯繫組:選擇上一步中建立的警示聯絡組。
步驟4:配置CloudMonitor事件訂閱
建立事件訂閱策略,指定訂閱Security Center的系統事件,並關聯步驟五中建立的通知配置。
登入CloudMonitor控制台,在左側導覽列,選擇
在訂閱策略頁簽,單擊創建訂閱策略,參考如下說明,完成配置。
名稱:訂閱策略的名稱。建議使用便於識別的中文名稱,例如:Security Center警示-飛書通知。
訂閱類型:選擇系統事件。
訂閱範圍:
產品:選擇Security Center。
事件類型:請選擇與步驟1中在Security Center開啟CloudMonitor推送專案和推送內容推送。其對應關係如下:
Security Center
CloudMonitor
安全事件
Incident
安全警示
Suspicious
基準檢查
System-Baseline-cnt
雲安全態勢管理
Cspm-cnt
無代理檢測
Agentless
恶意文件
mfd SDK
漏洞
推送結果匯總:Vulnerability-cnt
推送結果明細:Vulnerability
應用防護
Rasp
事件名稱和事件等級:選擇需要接收的事件通知。
若不配置,預設接收全部的事件。
若勾選設為黑名單,則表示反選。即接收除了配置的事件名稱、事件等級以外的通知。
應用分組、事件內容、事件資源:預設不配置。
合併降噪:使用預設值。
通知配置:選擇步驟3中建立的通知策略。
自定義通知方式、推送與集成:無需修改,保持預設。
參數配置完成後,單擊提交。
常見問題
配置完成後,為什麼收不到警示?
請按以下順序排查:
Security Center推送開關:檢查步驟一中的CloudMonitor推送開關是否已為您想接收的警示類型開啟。
事件訂閱規則:檢查步驟四中建立的事件訂閱策略,確認其事件類型和事件等級等過濾條件與您期望接收的警示匹配。
飛書關鍵詞(最常見原因):如果您使用飛書,請務必檢查機器人的自訂關鍵詞是否與實際警示訊息內容匹配。建議使用
警示、事件等通用詞。Webhook 地址:在CloudMonitor的警示連絡人中,使用測試功能檢查 Webhook 地址是否可達。確認地址無誤且未被防火牆等網路原則攔截。
CloudMonitor事件歷史:在事件中心 > 事件歷史中查看事件是否被成功接收和推送。如果事件存在但推送失敗,通常會有失敗原因記錄。
如何避免警示資訊刷屏?
開啟合并降噪:在步驟4的事件訂閱策略中,配置合并降噪,例如設定為“1分鐘內相同事件彙總通知”。
精準過濾:同樣在事件訂閱策略中,通過設定事件等級(如僅訂閱高危)或具體的事件名稱,來減少不重要警示的通知。
Webhook 測試返回非 200 狀態代碼怎麼辦?
非 200 狀態代碼表示CloudMonitor無法成功將訊息發送到您的機器人。常見原因包括:
URL 錯誤:複製的 Webhook 地址不完整或有誤。
IP 白名單限制:部分 IM 工具(如飛書)的安全設定中,可能配置了 IP 白名單,但未將CloudMonitor的伺服器 IP 加入。
關鍵詞不匹配(飛書):訊息內容不包含任何一個設定的關鍵詞,導致被飛書機器人攔截。
頻率超限:短時間內發送訊息過多,觸發了 IM 工具的頻率限制(例如,企業微信機器人有 15次/分鐘 的限制)。