阿里云的云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,用于保护您的云上资产和本地服务器安全,并满足监管合规要求。云安全中心支持将告警消息接入到日志服务,由日志服务告警系统完成告警降噪、通知等功能。

前提条件

配置云安全中心

  1. 登录云安全中心控制台
  2. 在左侧导航栏中,单击设置
  3. 通知页签的钉钉机器人通知区域,单击添加新的机器人
    接入云安全中心告警
  4. 添加钉钉机器人面板中,配置相关参数,然后单击添加
    Webhook地址配置为您在日志服务中创建开放告警服务和应用后生成的公网域名接口信息(完整URL)。如何获取,请参见获取接口信息。其他参数说明,请参见添加钉钉机器人接入云安全中心告警

云安全中心消息解析

目前云安全中心支持检测漏洞、基线检查、安全告警、AK安全泄露这四种类型的消息。不同类型消息对应的告警消息字段如下表所示。

  • 漏洞
    字段名称 说明 与日志服务的映射关系
    instanceName 受云安全中心保护的实例名称,例如ECS实例的名称。 映射到日志服务告警消息的labels字段中。
    instanceId 受云安全中心保护的实例ID,例如ECS实例的ID。 映射到日志服务告警消息的labels字段中。
    alias_name 漏洞别名 映射到日志服务告警消息的labels字段中。
    internetIp IP地址 映射到日志服务告警消息的annotations字段中。
    intranetIp 内网IP地址 映射到日志服务告警消息的annotations字段中。
    uuid 服务器UUID 映射到日志服务告警消息的labels字段中。
    aliUid 关联的阿里云账号ID 映射到日志服务告警消息的labels字段中。
    time 告警时间 映射为日志服务告警消息的alert_time字段和fire_time字段。
  • 基线检查
    字段名称 说明 与日志服务的映射关系
    instanceName 受云安全中心保护的实例名称,例如ECS实例的名称。 映射到日志服务告警消息的labels字段中。
    instanceId 受云安全中心保护的实例ID,例如ECS实例的ID。 映射到日志服务告警消息的labels字段中。
    type_alias 类型别名(中文) 映射到日志服务告警消息的annotations字段中。
    risk_name 风险项名称 映射到日志服务告警消息的annotations字段中。
    internetIp IP地址 映射到日志服务告警消息的annotations字段中。
    intranetIp 内网IP地址 映射到日志服务告警消息的annotations字段中。
    uuid 服务器UUID 映射到日志服务告警消息的labels字段中。
    aliUid 关联的阿里云账号ID 映射到日志服务告警消息的labels字段中。
    time 告警时间 映射为日志服务告警消息的alert_time字段和fire_time字段。
  • 安全告警
    字段名称 说明 与日志服务的映射关系
    instanceName 受云安全中心保护的实例名称,例如ECS实例的名称。 映射到日志服务告警消息的labels字段中。
    instanceId 受云安全中心保护的实例ID,例如ECS实例的ID。 映射到日志服务告警消息的labels字段中。
    machineIp 机器IP地址 映射到日志服务告警消息的annotations字段中。
    internetIp IP地址 映射到日志服务告警消息的annotations字段中。
    intranetIp 内网IP地址 映射到日志服务告警消息的annotations字段中。
    uuid 服务器UUID 映射到日志服务告警消息的labels字段中。
    aliUid 关联的阿里云账号ID 映射到日志服务告警消息的labels字段中。
    groupId 资产分组ID 映射到日志服务告警消息的labels字段中。
    event_type 告警类型 映射为日志服务告警消息中的alert_name字段。
    event_name 告警名称 映射为日志服务告警消息的annotations中的title字段。
    op 操作,包括:
    • new:新增。
    • fix:修复。
    • verify:验证。
    映射到日志服务告警消息的annotations字段中。
    status 安全事件状态。更多信息,请参见安全事件状态 映射为日志服务告警消息的annotations字段中。
    time 告警时间 映射为日志服务告警消息的alert_time字段和fire_time字段。

    其中,安全事件状态说明如下表所示。

    status字段的取值 含义 映射为日志服务中的告警状态
    Pending 待处理 触发(firing)
    Handled 已确认 触发(firing)
    Dealing 处理中 触发(firing)
    Auto Dealing 自动拦截中 触发(firing)
    Ignore 已忽略 已恢复(resolved)
    Fault 已标记误报 已恢复(resolved)
    Done 处理完毕 已恢复(resolved)
    Expire 已经过期 已恢复(resolved)
    Deleted 已经删除 已恢复(resolved)
    Auto Dealing Done 自动拦截完毕 已恢复(resolved)
  • AK安全泄露检测
    字段名称 说明 与日志服务的映射关系
    github_user 发生泄露的GitHub账户 映射到日志服务告警消息的labels字段中。
    github_file 发生泄露的GitHub文件 映射到日志服务告警消息的labels字段中。
    source 泄露源 映射到日志服务告警消息的labels字段中。
    github_repo 发生泄露的GithubRepo 映射到日志服务告警消息的labels字段中。
    accesskey_id 泄露的阿里云AccessKey信息 映射到日志服务告警消息的labels字段中。
    aliUid 关联的阿里云账号ID 映射到日志服务告警消息的labels字段中。
    time 告警时间 映射为日志服务告警消息的alert_time字段和fire_time字段。

字段映射

以安全告警类型的告警消息为例,介绍云安全中心告警消息与日志服务告警消息的映射关系。

日志服务 云安全中心 说明
aliuid 用于接入告警的开放告警应用所属的阿里云账号ID。
alert_id 告警监控规则ID。
alert_type 告警类型,固定为sls_pub。
alert_name event_type 告警监控规则名称。
status status 告警状态,包括firing和resolved。

云安全中心告警消息中的事件状态会被映射为告警状态。更多信息,请参见安全事件状态

next_eval_interval 告警评估时间间隔,固定为0。
alert_time time 告警本次评估时间。
fire_time time 告警首次触发时间。
resolve_time 告警恢复时间。
  • 如果status字段的值为firing,则resolve_time字段的值为0。
  • 如果status字段的值为resolved,则resolve_time字段的值为fire_time对应的值。
labels instanceNameinstanceIdaccountNamealiUiduuid 告警标签信息。包含如下字段:
  • instanceName
  • instanceId
  • accountName
  • aliUid
  • uuid

如果您在创建开放告警应用时 ,在信息加工中添加了标签信息,则此标签信息将被添加到labels字段中。

annotations statusinternetIpintranetIpmachineIpopevent_name 告警标注消息。包含的字段有statusinternetIpintranetIpmachineIpoptitle

其中,title字段是通过event_name字段映射的。

除以上字段外,还会额外添加如下字段。
  • __config_app__: "sls_pub_alert"
  • __pub_alert_service__: {开放告警服务id}
  • __pub_alert_app__: {开放告警应用id}
  • __pub_alert_protocol__: "sas"
  • __pub_alert_region__: {接收告警消息的网络接口对应的地域}

如果您在创建开放告警应用时 ,在信息加工中添加了标注信息,则此标注信息将被添加到annotations字段中。

severity 事件级别 告警严重度。
  • 如果云安全中心告警消息中的事件级别为serious,则severity的值为critical。
  • 如果云安全中心告警消息中的事件级别为suspicious,则severity的值为high。
  • 如果云安全中心告警消息中的事件级别为其它,则severity的值为medium。
policy 您在开放告警应用中配置的告警策略。更多信息,请参见Policy结构
project 告警中心所属的Project。更多信息,请参见项目(Project)
drill_down_query 云安全中心告警消息的URL地址。单击该地址可跳转到云安全中心告警消息对应的页面。