安全告警设置功能支持手动维护服务器的常用登录地、常用登录IP、常用登录时间、常用登录账号、防暴力破解、Web目录定义以及加入白名单规则,可帮助您建立更精细化的威胁防护规则并对这些规则进行统一的管理,从而及时发现资产中的安全威胁,实时掌握资产的安全态势。

背景信息

安全告警设置面板为服务器配置常用登录地、常用登录IP、常用登录时间、常用登录账号、防暴力破解、Web目录定义以及加入白名单规则后,触发规则产生的告警事件会展示在安全告警处理页面的告警列表中。为了您的资产安全,建议您及时处理相关的告警事件。具体操作,请参见查看和处理告警事件

版本限制说明

云安全中心各版本对安全告警设置面板上的功能的支持情况如下。
说明 下表使用到的标识的说明如下:
  • ×:表示该版本不支持使用此功能。
  • √:表示该版本支持使用此功能。
功能名称 免费版 防病毒版 高级版 企业版 旗舰版
常用登录地
常用登录IP × ×
常用登录时间 × ×
常用登录账号 × ×
防暴力破解 × ×
Web目录定义
加白规则

管理常用登录地、IP、时间及账号

您可以在安全告警设置面板对常用登录地常用登录IP常用登录时间常用登录账号进行配置。配置完成后,云安全中心会对服务器的非指定的登录情形告警。

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择威胁检测 > 安全告警处理
  3. 安全告警处理页面,单击右上角安全告警设置
  4. 安全告警设置面板,管理常用登录地常用登录IP常用登录时间常用登录账号
    常用登录地常用登录IP常用登录时间常用登录账号配置的操作步骤基本相同。下文以管理常用登录地为例,为您介绍这些功能配置的操作步骤,其他几种规则的配置本文不再赘述。
    1. 常用登录地页签,单击常用登录地区域右侧的管理
    2. 常用登录地面板,您可以根据业务需要选择一个地区作为常用登录地,然后选择该规则生效的服务器,单击确定,完成添加。
    云安全中心支持编辑和删除已成功添加的常用登录地。
    • 单击目标常用登录地右侧的编辑,修改该登录地的生效服务器。
    • 单击目标常用登录地右侧的删除,删除该常用登录地配置。

配置防暴力破解规则

云安全中心提供防暴力破解功能,支持配置自定义暴力破解防御规则。配置防暴力破解规则后,登录服务器时,在某个时间范围内登录服务器的失败次数超过限定次数将被禁止登录一段时间。防暴力破解功能,可有效防止您服务器账号的密码被暴力破解。

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择威胁检测 > 安全告警处理
  3. 安全告警处理页面,单击右上角安全告警设置,并单击防暴力破解页签。
  4. 如果您是首次使用防暴力破解功能,您需要进行防暴力破解授权操作。
    1. 将鼠标悬停在防暴力破解区域右侧的置灰管理上,在弹出的提示框中单击去授权
    2. 单击同意授权
  5. 单击防暴力破解区域右侧的管理
    云安全中心的免费版、防病毒版用户需要升级到高级版以上的版本才能使用此功能。
  6. 防暴力破解面板,配置防暴力破解规则。
    云安全中心提供默认防暴力破解规则:同一服务器10分钟内登录失败次数超过80次,禁止登录6小时。您可以选择对应服务器,直接使用该默认防御规则。您也可以参考以下表格中的配置说明自定义防御规则。
    配置项 说明
    防御规则名称 设置防暴力破解自定义规则名称。
    防御规则 设置防暴力破解的规则。即登录服务器时,在某个时间范围内登录服务器的失败次数超过限定次数将被禁止登录一段时间。例如:1分钟内登录失败次数超过3次,禁止登录30分钟。
    设置为默认策略 设置该防御规则是否为默认策略。设置为默认策略后,未添加防御规则的服务器将默认应用该规则。
    说明 选中设置为默认策略后,无论您是否在请选择对应的服务器中选择了服务器,当前策略都会对所有未添加防御规则的服务器生效。
    请选择对应的服务器 设置防御规则生效的服务器。支持直接选择云安全中心防护的服务器,或根据服务器名称和IP筛选指定服务器。
  7. 单击确定
    注意 每台服务器仅支持配置一个防暴力破解规则。
    • 如果该规则中设置生效的服务器未配置其他任何防御规则,该防暴力破解规则添加成功。
    • 如果该规则中设置生效的服务器已配置了其他防暴力破解规则,且您确定要更换为当前配置的规则,请在确认防御规则变更页面,单击确认
    • 如果原防暴力破解规则的生效服务器配置了新防御规则,则原防暴力破解规则的生效服务器数量会相应减少。

    您在安全告警设置面板的防暴力破解页签添加了防御规则后,该规则触发了IP拦截,就会自动生成IP拦截策略。IP拦截策略的更多信息,请参见设置IP拦截策略

管理自定义Web目录

云安全中心会自动检测您服务器资产中的Web目录,并进行动态检测和静态扫描。您也可以手动添加服务器中的其它Web目录进行检测扫描。当黑客通过已知网站后门进行异常连接行为时,云安全中心会进行主动拦截,并会生成告警事件展示在安全告警处理页面的告警列表中。

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择威胁检测 > 安全告警处理
  3. 安全告警处理页面,单击右上角安全告警设置,并单击Web目录定义页签。
  4. 单击Web目录定义区域右侧的管理
  5. 输入常用的Web路径,然后选择生效服务器,该路径所对应的Web目录会被添加到检测列表中。
    说明 出于性能效率考虑,不支持直接添加root目录作为Web目录。
  6. 单击确定,完成添加。

管理加白规则

如果您在处理告警事件时选择处理方式为加白名单,对应的白名单规则会展示在安全告警设置面板的加白规则列表中。您可以在安全告警设置面板,编辑或删除该规则。

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择威胁检测 > 安全告警处理
  3. 安全告警处理页面,单击右上角安全告警设置
  4. 安全告警设置面板,单击加白规则页签。
  5. 加白规则区域,您可以对目标规则进行编辑删除
    • 编辑加白规则
      1. 定位到您要编辑的规则,单击操作列的编辑
      2. 编辑规则对话框中,修改该加白规则的加白范围,即修复该加白规则生效的服务器。
      3. 单击确定,完成修改。
    • 删除加白规则
      1. 定位到您要删除的规则,单击操作列的删除
      2. 单击确定,完成删除。