本文介绍TDI安全事件的告警规则。通过设置并开启告警规则,可及时触发告警,有助于您快速发现TDI安全事件问题。

告警规则列表

云安全中心外网DNS请求成功率过低告警

告警ID sls_app_audit_secure_at_sas_dns_rate
告警名称 云安全中心外网DNS请求成功率过低告警
版本号 1
类别 云平台、阿里云、安全事件、TDI安全事件
作用 监控云安全中心外网DNS请求成功率。当云安全中心的外网DNS请求成功率低于指定的阈值时,触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 告警参数说明如下所示:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • 请求成功率阈值:请求成功率的阈值,默认值为90%。如果2分钟内云安全中心的外网DNS请求成功率低于该阈值,则触发告警。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
外部配置
消除办法 检查云安全中心的外网DNS请求事件是否存在异常。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开云安全中心日志的开关。

云安全中心有效请求率过低告警

告警ID sls_app_audit_secure_at_sas_rate
告警名称 云安全中心有效请求率过低告警
版本号 1
类别 云平台、阿里云、安全事件、TDI安全事件
作用 监控云安全中心的有效请求率。经云安全中心防护过滤后,如果对网站的有效请求率低于指定的阈值时,触发告警。
执行频率 固定时间间隔:1分钟
查询范围 过去2分钟
参数配置 告警参数说明如下所示:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • 有效请求率阈值:有效请求率的阈值,默认值为90%。如果过去2分钟内经云安全中心防护过滤后,对网站的有效请求率低于该阈值,则触发告警。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
  • 网站(host):需要监控的网站名称(支持正则)。
    • 您可以使用正则表达式.*进行配置。
    • 默认值.*表示监控目标阿里云账号下所有的网站。
外部配置
消除办法 检查云安全中心的请求事件是否存在异常,是否存在过多攻击事件。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开云安全中心日志的开关。

云安全中心新增告警数过多

告警ID sls_app_audit_secure_at_sas_new_alert
告警名称 云安全中心新增告警数过多
版本号 1
类别 云平台、阿里云、安全事件、TDI安全事件
作用 监控云安全中心告警情况。当云安全中心新增告警数超过指定的阈值时,则触发告警。
执行频率 固定时间间隔:4分钟
查询范围 过去5分钟
参数配置 告警参数说明如下所示:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • 新增告警数阈值:新增告警数的阈值,默认值为2。如果5分钟内云安全中心新增告警数超过该阈值时,则触发告警。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
外部配置
消除办法 检查云安全中心中新增的告警。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开云安全中心日志的开关。

云安全中心新增漏洞数过多

告警ID sls_app_audit_secure_at_sas_new_vul
告警名称 云安全中心新增漏洞数过多
版本号 1
类别 云平台、阿里云、安全事件、TDI安全事件
作用 监控云安全中心的漏洞情况。当云安全中心新增的漏洞数超过指定的阈值时,触发告警。
执行频率 固定时间间隔:4分钟
查询范围 过去5分钟
参数配置 告警参数说明如下所示:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • 新增漏洞数阈值:新增漏洞数的阈值,默认值为1。如果5分钟内云安全中心新增漏洞数超过该阈值时,则触发告警。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
外部配置
消除办法 检查云安全中心中新增的漏洞。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开云安全中心日志的开关。

云安全中心高优先级告警数过多

告警ID sls_app_audit_secure_at_sas_ser_alert
告警名称 云安全中心高优先级告警数过多
版本号 1
类别 云平台、阿里云、安全事件、TDI安全事件
作用 监控云安全中心高优先级告警的情况。当云安全中心高优先级告警数超过指定的阈值时,触发告警。
执行频率 固定时间间隔:4分钟
查询范围 过去5分钟
参数配置 告警参数说明如下所示:
  • 告警名称:告警实例的名称,支持创建多个告警实例。
  • 严重度:告警严重度,包括严重、高、中、低、报告。
  • 高优先级告警数阈值:高优先级告警数的阈值,默认值为1。如果云安全中心内的高优先级告警数超过该阈值,则触发告警。
  • 阿里云账号ID:需要监控的阿里云账号ID(支持正则)。
    • 多个阿里云账号ID之间可以使用竖线(|)分隔。您还可以使用正则表达式.*进行配置,例如156133.*,表示监控以156133开头的阿里云账号。
    • 默认值为.*,表示监控审计服务下配置的所有阿里云账号。
外部配置
消除办法 检查云安全中心中的高优先级告警。
前提条件 确保已在日志审计服务中的审计配置 > 云产品接入 > 全局配置中打开云安全中心日志的开关。