本文介绍ECS操作合规的告警规则,包括ECS磁盘加密、自动快照策略、安全组变更等告警规则。通过设置并开启告警规则,可及时触发告警,有助于您快速发现ECS操作合规问题。

告警规则列表

支持的告警规则列表如下所示。设置告警参数、设置白名单等相关操作,请参见 设置告警

ECS磁盘加密关闭告警

告警ID sls_app_audit_cis_at_ecs_disk_encry_detection
告警名称 ECS磁盘加密关闭告警
版本号 1
类别 云平台、阿里云、CIS、ECS操作合规
作用 监控ECS磁盘加密关闭行为。ECS磁盘应该在服务端开启加密,关闭加密会触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 严重度:严重、高、中、低、报告。默认值为高。
外部配置 允许磁盘不加密的账号白名单。关闭白名单账号下磁盘的加密功能后,不会触发告警。
消除方法 禁止白名单以外账号下的磁盘关闭加密功能。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开操作审计(ActionTrail)操作日志的开关。

ECS自动快照策略关闭告警

告警ID sls_app_audit_cis_at_ecs_auto_snapshot_policy
告警名称 ECS自动快照策略关闭告警
版本号 1
类别 云平台、阿里云、CIS、ECS操作合规
作用 监控ECS自动快照策略的关闭行为。ECS磁盘建议使用自动快照策略进行自动备份,关闭自动快照策略会触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 严重度:严重、高、中、低、报告。默认值为高。
外部配置 允许取消磁盘自动快照策略的账号白名单。白名单账号下磁盘的自动快照策略被关闭后,不会触发告警。
消除方法 禁止白名单以外账号下的磁盘关闭自动快照策略。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开操作审计(ActionTrail)操作日志的开关。

安全组配置变更告警

告警ID sls_app_audit_cis_at_securitygroup_change
告警名称 安全组配置变更告警
版本号 1
类别 云平台、阿里云、CIS、ECS操作合规
作用 监控安全组配置变更行为。ECS安全组的配置发生变更时会触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 严重度:严重、高、中、低、报告。默认值为高。
外部配置 允许进行安全组配置变更的子账号白名单。白名单中的账号进行安全组配置变更时,不会触发告警。
消除方法 禁止白名单以外的账号进行安全组配置变更。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开操作审计(ActionTrail)操作日志的开关。

ECS网络类型检测

告警ID sls_app_audit_cis_at_ecs_network_type
告警名称 ECS网络类型检测
版本号 1
类别 云平台、阿里云、CIS、ECS操作合规
作用 监控ECS网络类型是否存在异常。ECS建议使用专有网络VPC,创建经典网络的ECS会触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 严重度:严重、高、中、低、报告。默认值为中。
外部配置 允许ECS使用经典网络的账号白名单。白名单账号下创建使用经典网络的ECS,不会触发告警。
消除方法 禁止白名单以外的账号创建经典网络的ECS。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开操作审计(ActionTrail)操作日志的开关。