通過通知設定功能,可為安全警示、漏洞情報、基準風險等各類安全事件配置警示策略。支援通過郵件、站內信或DingTalk機器人等多種方式接收通知,協助實現對安全風險的及時響應。
配置通知
配置郵件、站內信通知
步驟一:配置通知接收人
配置警示項前,需先指定接收通知的安全連絡人,預設訊息接收人為帳號連絡人(即註冊帳號時填寫的連絡人)。
進入阿里雲訊息中心。在安全訊息頁簽定位到Apsara Stack Security安全語音總機,在單擊操作列修改,進入修改訊息接收配置頁面。
在訊息接收人頁簽,管理通知接收人。
選擇已有連絡人:在彈出的對話方塊中,直接勾選希望接收通知的連絡人。
添加新連絡人:單擊訊息接收人管理,在訊息接收人管理頁,單擊右上方新增訊息接收人,填寫姓名和郵箱後儲存。
說明新添加的郵箱必須完成驗證才能接收警示。請及時查收系統發送的郵件,並按提示完成操作,更多內容請參見基本訊息接收管理。
修改連絡人:單擊訊息接收人管理,在訊息接收人管理頁,單擊目標連絡人操作列編輯按鈕,填寫姓名和郵箱後儲存。
完成選擇後,點擊儲存,配置將立即生效。
步驟二:配置通知策略
Security Center提供郵件、站內信三種通知渠道。可針對不同通知項進行靈活配置,相關設定立即生效。
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在郵件/站內信頁簽,定位至待配置的通知專案。參考如下說明配置通知時間、嚴重性和通知方式。
通知時間:
24小時:全天候即時發送。建議為高危緊急事件選擇此項。
08:00~20:00:僅在指定時間段內發送。
重要在非選中的通知時間外觸發通知事件時,部分通知專案會延遲發送通知,請以實際收到為準。
發送頻率為系統配置,不支援修改,詳情請參見配額與限制。
嚴重性:根據事件的嚴重性進行篩選,例如僅關注嚴重和高危等級的警示。
通知方式:
可多選郵件、站內信。
部分警示專案僅支援特定的通知方式,請以控制台為準。
同時選擇多種通知方式時,系統會將同一條通知資訊同時發送到所有勾選的渠道。
配置DingTalk機器人通知
配置DingTalk機器人通知後,可通過DingTalk群即時接收Security Center識別的威脅預警資訊。
適用範圍
操作步驟
擷取Webhook地址
未建立機器人
在DingTalk用戶端中,選擇目標群聊,單擊右上方群設定按鈕。
單擊群管理中的機器人,在機器人管理頁面單擊添加機器人並選擇自訂。
在安全設定地區設定自訂關鍵詞,根據配置的通知語言設定關鍵詞。
中文:Security Center。
英文:Security。
勾選《自訂機器人服務及免責條款》後單擊完成。添加完成後會展示Webhook地址。
已建立機器人
在DingTalk用戶端中,選擇目標群聊,單擊右上方群設定按鈕。
單擊群管理中的機器人,在機器人管理頁面單擊目標機器人,在詳情頁即可擷取Webhook地址。
在Security Center添加機器人
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在通知設定的DingTalk機器人頁簽,單擊添加聊天機器人。在添加丁Talk聊天機器人面板,完成配置,並單擊添加。重要配置項說明如下:
說明新建立的DingTalk機器人通知預設為啟用狀態。
配置項
說明
Webhook URL
複製粘貼步驟1中擷取的Webhook地址。
重要請保管好Webhook地址,不要公布在外部網站上。Webhook地址泄露可能會產生安全風險。
資產組
選擇在Security Center資產中建立的資產分組。選中後,DingTalk機器人將會發送該資產分組中資產相關的警示通知。如何配置資產,請參見管理伺服器的分組。
通知打開
選擇需要DingTalk機器人通知的警示類型和風險等級。
說明通知項的等級和類型以或的方式生效,即滿足任意一條件即可觸發通知。
通知間隔
DingTalk機器人發送通知的間隔周期。
重要DingTalk機器人單個Webhook每分鐘最多可接收20條通知。詳情請參見DingTalk機器人頻率和限流規則。
語言
DingTalk機器人發送通知的語言類型,可選中文或英文。
測試通知(可選)
在DingTalk機器人列表,找到新建立的DingTalk機器人,在操作列單擊測試,驗證DingTalk機器人通知是否已經和DingTalk群連通。
說明DingTalk機器人通知支援編輯和刪除。刪除通知後,您將無法收到相關警示的DingTalk機器人通知,但不影響您已設定的郵件或站內信通知。
關閉通知
關閉郵件、站內信通知
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在郵件/站內信頁簽,定位至目標式通知項,在通知方式列取消勾選不希望接收通知的渠道。
關閉DingTalk機器人
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在DingTalk機器人頁簽,定位至目標機器人,參考下表進行操作:
目標
操作方法
注意事項
暫時停用
(臨時關閉所有通知)關閉啟用狀態列的開關。
配置會被保留,可隨時重新開啟。
永久刪除
(不再使用此機器人)單擊操作列的刪除。
操作無法復原! 需要重新設定才能再次使用。
篩選通知
(只接收部分警示)1. 單擊操作列的編輯。
2. 在通知打開中刪除不希望接收的警示類型/等級。可以靈活控制通知的精細度,避免資訊過載。
配額與限制
通知頻率和限流規則
為避免過多通知造成幹擾,Security Center對各類通知的發送頻率和數量設定了限制。各通知項詳細限制如下:
防禦警示
通知專案
發送頻率/觸發條件
每日限流規則 (郵件/站內信)
精準防禦
即時發送
每天最多發送5條站內信、20封郵件。
網頁防篡改
每天最多發送5條通知。
雲蜜罐警示
每天最多發送5條通知。
應用防護警示
每天最多發送、10封郵件、10封站內信。
惡意IP攔截警示通知
每天最多發送10條通知。
檢測警示
通知專案
發送頻率/觸發條件
每日限流規則 (郵件/站內信)
安全警示
即時發送
每個阿里雲帳號24小時內最多發送5條。
同一台伺服器24小時內最多發送1條。
新增安全事件
同一個事件每天只通知1次(包括新增和更新)。
新增和更新累計每天不超過5條。
更新安全事件
容器安全警示
通知專案
發送頻率/觸發條件
每日限流規則 (郵件/站內信)
容器微隔離異常警示通知
即時發送
每天最多發送100條郵件(超出部分將延期發送)。
容器微隔離主動防禦通知
每天最多發送100條郵件(超出部分將延期發送)。
鏡像安全掃描惡意警示通知
每天最多發送24封郵件、24封站內信。
鏡像安全掃描基準風險通知
每天最多發送1條通知。
鏡像安全掃描漏洞風險通知
每天最多發送24封郵件、1封站內信。
鏡像安全掃描敏感檔案警示通知
每天最多發送24條通知。
無代理檢測警示
通知專案
發送頻率/觸發條件
每日限流規則 (郵件/站內信)
無代理檢測惡意樣本通知
掃描任務結束後發送。
每天最多發送1封郵件、1封站內信。
無代理檢測漏洞風險通知
無代理檢測基準風險通知
無代理檢測敏感檔案警示通知
周期性/閾值觸發通知
通知專案
發送頻率/觸發條件
每日限流規則 (郵件/站內信)
安全周報
每7天一次。
無
基準檢查
防勒索任務執行結果
任務完成後發送。
防勒索空間超量
防勒索容量超過購買總容量,使用率達100%時,立即通知。
每7天檢查一次,如果已使用的防勒索容量超過設定的閾值,發送通知。
威脅分析熱資料日誌超量提醒通知
即時發送。
威脅分析接入日誌流量超量提醒通知
日誌超量
每2天一次。
病毒掃描通知
按照病毒查殺掃描周期發送。
DingTalk機器人頻率和限流規則
通知頻率:可設定為1分鐘、5分鐘、10分鐘、30分鐘或無限制。
通知頻率為無限制時的限流規則:DingTalk機器人單個Webhook地址每分鐘最多可接收20條通知。
常見問題
連絡人與接收人管理
如何修改接收警示通知的連絡人(郵箱/手機)?
可在阿里雲訊息中心中修改,具體步驟請參考步驟一:配置通知接收人。
為什麼修改/新增連絡人...後,警示依然發給舊連絡人或新連絡人收不到?
請按以下步驟排查:
確認修改位置:確保正確修改或添加了連絡人,並完成了手機或郵箱的驗證。具體步驟請參考步驟一:配置通知接收人。
檢查其他產品配置:檢查是否有其他雲產品(如CloudMonitor)的獨立警示規則中仍配置了舊的連絡人。
如何按崗位角色(如營運、開發)大量設定警示接收人?
暫不支援按角色大量設定,但可通過新增或修改時設定“職位”標籤統一識別連絡人。
警示接收問題排查
配置警示通知後,為什麼收不到?
可按以下步驟排查:
檢查接收人:確認手機號或郵箱已在訊息接收人管理中添加並完成驗證,具體操作請參見步驟一:配置通知接收人。
檢查通知配置:確認相關通知專案已開啟,且我關注的等級與警示等級匹配,通知時間設定為24小時。
檢查垃圾箱:檢查郵件的垃圾箱或簡訊的攔截記錄。
檢查限流:對照配額與限制章節,確認是否已達到當天的發送上限。
檢查地區:確保配置通知的地區中國或全球(不含中國)與產生警示的資產所在地區一致。
為什麼關閉了“異常登入”警示項,DingTalk機器人還是收到了通知?
原因:設定了安全警示的通知等級為可疑,而警示通知的觸發規則是 “類型”或“等級”,滿足任意一個條件就會發送。
解決方案:進入通知設定,在安全警示通知等級分類中,取消勾選可疑。
附錄:通知內容說明
定期報告
通知專案
說明
安全周報
發送主題為阿里雲Security Center周報的通知。通知內容為資產中未處理的漏洞數量、漏洞修複建議、基準風險數量和警示資訊等。
說明如果您的帳號下沒有ECS執行個體,或ECS執行個體已停止運行或已被釋放,系統將不會發送安全周報。
基準檢查
發送主題為Security Center待處理基準配置風險周報的通知。通知內容為資產中未處理的基準風險數量。
資源與容量
通知專案
說明
防勒索空間超量
防勒索空間超量通知機制如下:
已使用防勒索容量超過購買總容量,使用閾值達到100%時,即時發送通知。
Security Center系統每日會定時檢查防勒索容量使用方式,如果已使用的防勒索容量超過設定的閾值,發送通知。您可以在防勒索空間超量地區單擊
表徵圖,調整發送通知的容量使用閾值。
威脅分析熱資料日誌超量提醒通知
威脅分析日誌儲存空間使用率通知。
威脅分析接入日誌流量超量提醒通知
當“接入日誌流量”超過"訂閱接入日誌流量”的80%時,發送擴容提醒通知。
日誌超量
當日誌儲存量超過了購買的日誌分析容量佔比閾值時,發送日誌超量通知。
在日誌超量地區,單擊
表徵圖,可調整發送通知的日誌容量閾值。功能模組警示
通知專案
說明
防勒索任務執行結果通知
在配置的通知時段,當防勒索的資料備份任務或備份資料恢複任務執行完成後,再匹配您關注的執行結果(執行成功或執行失敗),發送通知。
新增安全事件
發現了新增安全事件待處理時發送通知。
更新安全事件
安全事件狀態為“待處理”且有新增關聯安全警示時,便發送通知。
安全警示
檢測到安全警示時發送通知。
精準防禦
檢測到精準防禦警示時發送通知。
網頁防篡改
檢測到網頁防篡改警示時發送通知。
惡意IP攔截警示通知
針對惡意IP的爆破攻擊進行攔截,攔截後將為您發送通知。
病毒掃描通知
按照您配置的病毒查殺的掃描周期,在病毒掃描完成後通知掃描結果。
雲蜜罐警示
檢測到雲蜜罐警示時,發送通知。每天最多發送5條通知。
應用防護警示
檢測到應用防護警示時,發送通知。
容器安全
通知專案
說明
容器微隔離異常警示通知
檢測到未授權的網路行為時發送通知。
容器微隔離主動防禦通知
檢測到未授權的網路行為時主動攔截並發送通知。
鏡像安全掃描惡意警示通知
鏡像安全掃描完成後,針對產生的惡意樣本警示發送通知。
鏡像安全掃描基準風險通知
鏡像安全掃描完成後,針對產生的風險基準警示發送通知。
鏡像安全掃描漏洞風險通知
鏡像安全掃描完成後,針對產生的漏洞風險警示發送通知。
鏡像安全掃描敏感檔案警示通知
鏡像安全掃描完成後,針對產生的敏感檔案警示發送通知。
無代理檢測
通知專案
說明
無代理檢測惡意樣本通知
安全掃描完成後,對產生的惡意樣本發送警示通知。
無代理檢測漏洞風險通知
安全掃描完成後,對產生的漏洞風險發送警示通知。
無代理檢測基準風險通知
安全掃描完成後,對產生的風險基準發送警示通知。
無代理檢測敏感檔案警示通知
安全掃描完成後,對產生的敏感檔案發送警示通知。