开启告警通知功能后,您能接收到主机安全服务发送的告警通知,及时了解主机/容器/网页内的安全风险。否则,无论是否有风险,您都只能登录管理控制台自行查看,无法收到报警信息。
- 告警通知设置仅在当前区域生效,若需要接收其他区域的告警通知,请切换到对应区域后进行设置。
- 告警通知信息可能会被误拦截,若您未收到相关告警信息,请在信息拦截中查看。
前提条件
在设置告警通知前:
- “告警方式”如果选择“消息中心”,建议您在右上角“消息中心”单击“消息接收管理”进入消息接收配置页面,在“安全消息>安全事件通知”上方添加或在“操作”列“修改”消息接收人。
- 告警方式”如果选择“消息主题”,建议您先以管理员身份在“消息通知服务”中创建“消息主题”。
开启告警通知
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全>企业主机安全”,进入“企业主机安全”页面。
3、在弹窗界面单击“体验新版”,切换至主机安全服务页面。切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4、在左侧导航树选择“安装与配置”,选择“告警配置”页签,进入“告警配置”页面,配置参数说明请参见表。
告警配置页面
告警配置参数
通知项 说明 选择建议 每日告警通知 每日凌晨,主机安全服务将主动检测主机系统中的帐号、Web目录、漏洞、恶意程序及关键配置等,汇总各项检测结果后,将检测结果发送给您在“消息中心”中添加的消息接收人,或者在“消息通知服务主题”中添加的订阅终端。
单击“查看每日告警默认通知事件”可查看通知项。
接收并定期查看每日告警通知中所有的内容,能有效降低主机中未及时处理的风险成为主机安全隐患的概率。
由于每日告警中通知项的内容较多,如果您使用的“消息通知服务”,接收告警通知,建议您选择“订阅终端”配置为“邮箱”的“消息通知服务主题”。
实时告警通知 当攻击者入侵主机时,主机安全服务将按照选定的“消息中心”或者“消息通知服务主题”为您告警。
单击“查看实时告警默认通知事件”可查看通知项。
建议您接收实时告警通知中所有的内容并及时查看。企业安全服务实时监测主机中的安全情况,能监测到攻击者入侵主机的行为,接收实时告警通知能快速处理攻击者入侵主机的行为。
由于实时告警中通知项的内容紧急度较高,如果您使用的“消息通知服务”,接收告警通知,建议您选择“订阅终端”配置为“短信”的“消息通知服务主题”。
告警等级 自定义勾选通知的告警等级。 选择全部。 屏蔽事件 选择无需发送告警通知的事件。
展开选框可自定义选择不发送告警的事件类型。
根据告警通知项说明的内容说明判断需要屏蔽的事件。
5、选择事件告警的通知方式。
- 消息中心
告警通知默认发送给帐号联系人的消息中心,可登录系统在右上角查看。 - 消息主题
单击下拉列表选择已创建的主题,或者单击“查看消息通知服务主题”创建新的主题。
您可以根据运维计划和告警通知类型,创建多个“消息通知主题”,以接收不同类型的告警通知。更多关于主题和订阅的信息,请参见《消息通知服务用户指南》。
6、单击“应用”,完成配置主机安全告警通知的操作。界面弹出“告警通知设置成功”提示信息,则说明告警通知设置成功。
告警通知项说明
通知项 通知内容 通知内容说明 每日告警通知:每日凌晨检测主机中的风险,汇总并统计检测结果后,将检测结果于每日上午10:00发送给您添加的手机号或者邮箱。 资产管理 危险端口 检测开放了的危险端口或者不必要的端口,通知用户及时排查这些端口是否用于正常业务。 漏洞管理 需紧急修复漏洞 检测系统中的紧急漏洞,通知用户尽快修复,防止攻击者利用该漏洞会对主机造成较大的破坏。 基线检查 配置检查 检测系统中的关键应用,如果采用不安全配置,有可能被黑客利用作为入侵主机系统的手段。 经典弱口令 检测MySQL、FTP及系统帐号的弱口令。 入侵检测 恶意程序 对运行中的程序进行检测,识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 Webshell
检测云服务器上Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。
网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。
您可以使用手动检测功能检测主机中的网站后门。
反弹Shell 实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。
支持对TCP、UDP、ICMP等协议的检测。
文件提权 检测当前系统对文件的提权。 进程提权
检测以下进程提权操作:
利用SUID程序漏洞进行root提权。
利用内核漏洞进行root提权。
关键文件变更 对于系统关键文件进行监控,文件被修改时告警,提醒用户关键文件存在被篡改的可能。 文件/目录变更 对于系统文件/目录进行监控,文件/目录被修改时告警,提醒用户文件/目录存在被篡改的可能。 进程异常行为 检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。
对于进程的非法行为、黑客入侵过程进行告警。
进程异常行为可以监控以下异常行为:
监控进程CPU使用异常。
检测进程对恶意IP的访问。
检测进程并发连接数异常等。
高危命令执行 实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。 异常Shell 检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 异常登录 检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施(例如:忽略、修改密码等)。
若在非常用登录地登录,则触发安全事件告警。
非法系统账号 检测主机系统中的账号,列出当前系统中的可疑账号信息,帮助用户及时发现非法账号。 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时(例如:“脏牛”、“bruteforce”、“runc”、“shocker”等),触发逃逸漏洞攻击告警。 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录(例如:“/etc/shadow”、“/etc/crontab”),则认为容器内发生了逃逸文件访问,触发告警。即使该目录符合容器配置的目录映射规则,仍然会触发告警。 容器进程异常 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程,可以在控制台配置安全策略设置进程白名单并将策略关联容器镜像。
对于已关联的容器镜像启动的容器,只允许白名单进程启动,如果容器内存在非白名单进程,触发容器异常程序告警。
容器异常启动 对容器启动时使用不合规的参数进行检测告警。
容器启动时可以带有很多参数,对容器进行权限设置。如果没有正确设置,可能会导致权限过大,给攻击者留下可以利用的方式。
高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。监控容器进程,如果发现进程使用了危险系统调用(例如:“open_by_handle_at”、“ptrace”、“setns”、“reboot”等),触发高危系统调用告警。 敏感文件访问 检测重要文件的提权或持久化等访问行为,对访问行为进行告警。 需紧急修复DDoS攻击第三方漏洞 检测需要紧急修复来自DDoS的第三方漏洞攻击。 恶意扫描 检测对主机资产的异常扫描行为。 恶意挖矿 对在未经用户同意或知情的情况下使用设备(计算机、智能手机、平板电脑甚至服务器)挖掘加密货币进行检测,一旦发现立即报警上报。 暴力破解 检测“尝试暴力破解”和“暴力破解成功”等暴力破解。
检测账户遭受的口令破解攻击,封锁攻击源,防止云主机因账户破解被入侵。
若账户暴力破解成功,登录到云主机,则触发安全事件告警。
实时告警通知:事件发生时,及时发送告警通知。 入侵检测 恶意程序 对运行中的程序进行检测,识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 Webshell 检测云服务器上Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。
网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。
您可以根据网站后门信息忽略可信文件。您可以使用手动检测功能检测主机中的网站后门。
文件提权 检测当前系统对文件的提权。 进程提权 检测以下进程提权操作:
利用SUID程序漏洞进行root提权。
利用内核漏洞进行root提权。
关键文件变更 对于系统关键文件进行监控,文件被修改时告警,提醒用户关键文件存在被篡改的可能。 文件/目录变更 对于系统文件/目录进行监控,文件/目录被修改时告警,提醒用户文件/目录存在被篡改的可能。 进程异常行为 检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。
对于进程的非法行为、黑客入侵过程进行告警。
进程异常行为可以监控以下异常行为:
监控进程CPU使用异常。
检测进程对恶意IP的访问。
检测进程并发连接数异常等。
高危命令执行 实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。 异常Shell 检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 非法系统帐号 检测主机系统中的帐号,列出当前系统中的可疑帐号信息,帮助用户及时发现非法帐号。 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时(例如:“脏牛”、“bruteforce”、“runc”、“shocker”等),触发逃逸漏洞攻击告警。 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录(例如:“/etc/shadow”、“/etc/crontab”),则认为容器内发生了逃逸文件访问,触发告警。即使该目录符合容器配置的目录映射规则,仍然会触发告警。 容器进程异常 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程,可以在控制台配置安全策略设置进程白名单并将策略关联容器镜像。
对于已关联的容器镜像启动的容器,只允许白名单进程启动,如果容器内存在非白名单进程,触发容器异常程序告警。
容器异常启动 对容器启动时使用不合规的参数进行检测告警。
容器启动时可以带有很多参数,对容器进行权限设置。如果没有正确设置,可能会导致权限过大,给攻击者留下可以利用的方式。
高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。监控容器进程,如果发现进程使用了危险系统调用(例如:“open_by_handle_at”、“ptrace”、“setns”、“reboot”等),触发高危系统调用告警。 敏感文件访问 检测重要文件的提权或持久化等访问行为,对访问行为进行告警。 需紧急修复DDoS攻击第三方漏洞 检测需要紧急修复来自DDoS的第三方漏洞攻击。 恶意扫描 检测对主机资产的异常扫描行为。 恶意挖矿 对在未经用户同意或知情的情况下使用设备(计算机、智能手机、平板电脑甚至服务器)挖掘加密货币进行检测,一旦发现立即报警上报。 账户登录 登录成功 对登录成功的账户进行通知。
