云安全中心的消息通知默认支持钉钉机器人。如果需要通过飞书或企业微信接收云安全中心的告警通知,可以借助云监控的事件订阅功能,将云安全中心产生的告警事件转发至飞书群或企业微信群。
方案概述
云安全中心支持将安全告警推送至云监控,云监控再通过事件订阅将告警转发至飞书或企业微信。整体配置流程如下:
开启云监控推送:在云安全中心的通知设置中开启云监控推送开关,选择需要推送的告警类型。
创建消息机器人:在飞书或企业微信中创建自定义机器人,获取Webhook地址。
创建云监控报警联系组:
在云监控中创建报警联系人,将Webhook地址绑定到联系人。
在云监控中将绑定了Webhook的报警联系人加入报警联系组。
创建云监控通知配置:在云监控中创建通知策略,关联报警联系组,定义通知对象。
配置云监控事件订阅:创建事件订阅策略,指定订阅云安全中心的系统事件,并关联通知配置。
步骤1:在云安全中心开启云监控推送
在云安全中心开启云监控推送功能,使云安全中心的告警事件能够被云监控接收。
只有在云安全中心开启云监控推送后,云监控才能接收到对应的告警数据。
访问云安全中心控制台-系统设置-通知设置,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
在云监控推送页签,根据需要勾选通知项目。各通知项目的说明如下表所示。
通知项目
推送频率
说明
安全事件
推送结果明细:无限制
检测到的安全攻击事件,例如DDoS攻击、暴力破解等。
安全告警
推送结果明细:无限制
主机或容器中检测到的威胁告警,例如异常登录、恶意进程等。
基线检查
推送结果汇总:每周四固定发送一次。
安全基线检查汇总结果的通知。
云安全态势管理
推送结果汇总:每周四固定发送一次。
云平台配置风险的检查汇总结果通知。
无代理检测
推送结果明细:可自定义选择。
无需安装Agent的安全检测结果通知。
恶意文件
推送结果明细:可自定义选择。
通过恶意文件检测SDK检出的恶意文件通知。
漏洞
推送结果汇总:每周四固定发送一次。
推送结果明细:可自定义选择。
系统漏洞和应用漏洞的检测结果和汇总通知。
应用防护
推送结果明细:可自定义选择。
应用运行时防护(RASP)的告警通知。
步骤2:创建消息机器人
根据实际需求,在飞书或企业微信中创建自定义机器人,获取Webhook地址。该地址将在步骤3中配置到云监控的报警联系人中。
创建飞书机器人
以PC版飞书为例,介绍创建飞书自定义机器人的操作方法。
打开并登录飞书。单击飞书群右侧的
图标,然后单击群机器人。在群机器人面板单击添加机器人,然后选择自定义机器人。
在机器人配置页,设置机器人名称(如云监控报警通知),然后单击添加。
复制Webhook地址,然后选中自定义关键词并输入关键词,如:告警、云监控、云安全中心。
重要飞书机器人要求消息内容必须包含至少一个自定义关键词,否则消息将被拦截。建议添加多个关键词以确保告警消息能正常接收。
请妥善保存Webhook地址,后续配置云监控报警联系人时需要使用。
创建企业微信机器人
以手机版企业微信为例,介绍创建企业微信自定义机器人的操作方法。
打开并登录企业微信。
单击企业微信群右上角的
图标,然后单击群机器人。在群机器人页面,单击添加机器人。
在添加机器人页面,设置自定义机器人名称(如云监控报警通知),然后单击添加。
在添加完成页,单击复制,保存企业微信机器人的Webhook地址。
重要请妥善保存Webhook地址,后续配置云监控报警联系人时需要使用。
步骤3:在云监控中配置通知策略
在云监控中创建报警联系人,并将步骤二中获取的Webhook地址绑定到该联系人,并将其加入报警联系组。使云监控能够通过该地址向飞书或企业微信发送告警通知。
创建报警联系人
登录云监控控制台,在左侧导航栏,选择
在报警联系人页签,单击创建联系人。
在设置报警联系人面板,参考如下说明完成配置。
姓名:如飞书机器人或企业微信机器人。
钉钉|飞书|企微|Slack Webhook(http|https):粘贴步骤二中获取的Webhook地址。该输入框为统一的Webhook地址栏,飞书和企业微信的Webhook地址均填写在此处。
(可选)测试Webhook连通性:单击Webhook输入框右侧的测试按钮,查看返回的状态码,状态码200表示连通正常。
信息验证无误后,单击确认。
创建报警联系人组
切换至报警联系组页签,单击新建联系组。
在新建联系组面板,参考如下说明完成配置后,单击确认。
组名:报警联系组的组名,如飞书机器人组或企业微信机器人组。
选择联系人:选择上一步创建的报警联系人。
创建通知配置
左侧导航栏,选择
单击创建策略,参考如下说明完成配置后,单击确定。
名称:通知策略的名称。例如:云安全中心告警通知。
通知设置:选择直接设置通知组。
联系组:选择上一步中创建的报警联系组。
步骤4:配置云监控事件订阅
创建事件订阅策略,指定订阅云安全中心的系统事件,并关联步骤五中创建的通知配置。
登录云监控控制台,在左侧导航栏,选择
在订阅策略页签,单击创建订阅策略,参考如下说明,完成配置。
名称:订阅策略的名称。建议使用便于识别的中文名称,例如:云安全中心告警-飞书通知。
订阅类型:选择系统事件。
订阅范围:
产品:选择云安全中心。
事件类型:请选择与步骤1中在云安全中心开启云监控推送通知项目和推送内容推送。其对应关系如下:
云安全中心
云监控
安全事件
Incident
安全告警
Suspicious
基线检查
System-Baseline-cnt
云安全态势管理
Cspm-cnt
无代理检测
Agentless
恶意文件
mfd SDK
漏洞
推送结果汇总:Vulnerability-cnt
推送结果明细:Vulnerability
应用防护
Rasp
事件名称和事件等级:选择需要接收的事件通知。
若不配置,默认接收全部的事件。
若勾选设为黑名单,则表示反选。即接收除了配置的事件名称、事件等级以外的通知。
应用分组、事件内容、事件资源:默认不配置。
合并降噪:使用默认值。
通知配置:选择步骤3中创建的通知策略。
自定义通知方式、推送与集成:无需修改,保持默认。
参数配置完成后,单击提交。
常见问题
配置完成后,为什么收不到告警?
请按以下顺序排查:
云安全中心推送开关:检查步骤一中的云监控推送开关是否已为您想接收的告警类型开启。
事件订阅规则:检查步骤四中创建的事件订阅策略,确认其事件类型和事件等级等过滤条件与您期望接收的告警匹配。
飞书关键词(最常见原因):如果您使用飞书,请务必检查机器人的自定义关键词是否与实际告警消息内容匹配。建议使用
告警、事件等通用词。Webhook 地址:在云监控的报警联系人中,使用测试功能检查 Webhook 地址是否可达。确认地址无误且未被防火墙等网络策略拦截。
云监控事件历史:在事件中心 > 事件历史中查看事件是否被成功接收和推送。如果事件存在但推送失败,通常会有失败原因记录。
如何避免告警信息刷屏?
开启合并降噪:在步骤4的事件订阅策略中,配置合并降噪,例如设置为“1分钟内相同事件合并通知”。
精准过滤:同样在事件订阅策略中,通过设置事件等级(如仅订阅高危)或具体的事件名称,来减少不重要告警的通知。
Webhook 测试返回非 200 状态码怎么办?
非 200 状态码表示云监控无法成功将消息发送到您的机器人。常见原因包括:
URL 错误:复制的 Webhook 地址不完整或有误。
IP 白名单限制:部分 IM 工具(如飞书)的安全设置中,可能配置了 IP 白名单,但未将云监控的服务器 IP 加入。
关键词不匹配(飞书):消息内容不包含任何一个设置的关键词,导致被飞书机器人拦截。
频率超限:短时间内发送消息过多,触发了 IM 工具的频率限制(例如,企业微信机器人有 15次/分钟 的限制)。