云安全中心的设置功能提供自定义配置病毒查杀、网站后门查杀、容器威胁检测、安全管控、访问控制、防护模式管理和客户端自保护的服务。

病毒查杀

病毒查杀能够帮助您自动隔离常见网络病毒,包括主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等。所有支持自动隔离的病毒都经过了阿里云安全专家的测试和验证,确保零误杀。关于病毒云查杀的说明,请参见病毒云查杀

未开启自动隔离时,云安全中心以安全告警的形式向您展示在服务器上检测出的病毒,您需要在控制台手动处理。建议您开启病毒自动隔离,加固服务器安全防线。
说明 开启病毒自动隔离功能后,云安全中心中新购的服务器将默认自动开启该功能。
操作步骤
  1. 登录阿里云云安全中心控制台
  2. 在左侧导航栏单击设置
  3. 设置页签的病毒查杀模块,单击管理病毒查杀管理
  4. 病毒查杀检测范围对话框中选择要开启病毒查杀自动隔离的服务器。

    从左侧未检测服务器列表中选择要开启病毒查杀的服务器,单击右向箭头,将其移入右侧已检测服务器列表中,为该服务器开启病毒查杀功能;将服务器从右侧框移入左侧框,为该服务器关闭病毒查杀功能。

  5. 单击确定
  6. 病毒查杀模块,单击病毒拦截后按钮,开启病毒查拦截功能。开启病毒拦截后,云安全中心将对检测出的主流病毒类型进行自动隔离,您可在安全告警处理页面精准防御类型告警列表中,查看被病毒查杀功能自动隔离掉的病毒。 精准防御
    说明
    • 新开通云安全中心的用户默认开启病毒拦截功能;未开启病毒拦截功能的基础杀毒版、高级版和企业版用户,建议您开启病毒拦截功能。可根据控制台弹窗的提示或当前操作步骤的指导开启该功能。
    • 病毒拦截功能开通后,可能会存在部分程序误报或未隔离成功的情况。
      • 误报的事件可以从文件隔离箱中恢复。具体内容请参见文件隔离箱
      • 未隔离成功的事件可以在安全告警处理页面手动隔离。具体内容请参见查看和处理告警事件

网站后门查杀

网站后门查杀功能会定期检测网站服务器、网页目录中的网站后门及木马程序。

只有为服务器开启网站后门查杀后,云安全中心安全告警才会触发网站后门检测,并向您展示相关告警记录。关于安全告警的详细介绍,请参见安全告警类型

操作步骤
  1. 登录阿里云云安全中心控制台
  2. 在左侧导航栏单击设置
  3. 设置页签的网站后门查杀模块,单击管理网站后门查杀
  4. 设置需要开启网站后门查杀的服务器。

    从左侧未检测服务器列表中选择要开启网站后门查杀的服务器,单击右向箭头,将其移入右侧已检测服务器列表中,为该服务器开启网站后门查杀功能;将服务器从右侧框移入左侧框,为该服务器关闭网站后门查杀功能。

  5. 单击确定

容器威胁检测

云安全中心企业版支持容器威胁检测能力,实时为您检测正在运行的容器安全状态,帮助您及时发现容器中的安全隐患和黑客入侵行为。 关于容器威胁检测的检测项,请参见容器威胁检测项
说明 云安全中心企业版容器威胁检测功能无需设置,基础版、基础杀毒版、高级版用户需要先升级至企业版,才能使用容器威胁检测功能。
容器威胁检测
云安全中心企业版通过检测容器威胁检测项,为您实时检测正在运行的容器安全状态。容器威胁检测项详见下表。
类型 检测项
异常网络连接 反弹Shell网络外连
可疑网络外连
疑似内网横向移动
恶意进程(云查杀) DDoS木马
可疑矿机通信
可疑程序
可疑端口爆破扫描工具
可疑黑客程序
后门程序
恶意漏洞扫描工具
恶意程序
挖矿程序
木马程序
自变异木马
蠕虫病毒
网站后门 Webshell
进程异常行为 Apache-CouchDB执行异常指令
FTP应用执行异常指令
Hadoop执行异常指令
Java应用执行异常指令
Jenkins执行异常指令
Linux异常账号创建
Linux计划任务执行异常指令
MySQL执行异常指令
Oracle执行异常指令
PostgreSQL应用执行异常指令
Python应用执行异常指令
SSH远程非交互式一句话异常指令执行
Webshell执行可疑探测指令
Windows-3389-RDP配置被修改
Windows异常下载指令
Windows异常帐号创建
crontab计划任务被写入恶意代码
Linux可疑命令序列
Linux可疑命令执行
动态植入可疑脚本文件
反弹Shell
反弹Shell命令
可疑HTTP隧道信息泄露
可疑SSH Tunnel端口转发隧道
可疑Webshell写入行为
可疑特权容器启动
可疑端口监听异常进程
启动恶意容器
存在风险的Docker远程调试接口
异常操作指令
容器内部提权或逃逸
启动恶意容器

安全管控

安全管控功能支持IP地址白名单配置,可对加入到白名单中的IP地址进行放行,避免拦截正常的流量。

如果云安全中心将正常访问的IP地址识别为风险IP并对其进行拦截,导致部分业务受影响,可通过安全管控功能设置IP白名单,放行因误判被拦截的IP地址。云安全中心不会对添加至IP白名单的IP地址进行告警或拦截。

说明 将某个IP地址加入IP白名单后,该IP地址在访问您的(部分或所有)服务器时将不受任何限制。请谨慎添加IP白名单。
操作步骤
  1. 登录阿里云云安全中心控制台
  2. 在左侧导航栏单击设置
  3. 设置页签的安全管控模块,单击配置,跳转至安全管控控制台。安全管控配置
  4. 白名单管理 > IP白名单页面,配置IP白名单。具体内容请参见访问白名单

访问控制

使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源的场景时,RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业的信息安全风险。

如果云安全中心检测到账号相关告警或异常事件,您可通过RAM排查并管理您账号下的用户及权限策略,加固您资产的信息安全。

操作步骤
  1. 登录阿里云云安全中心控制台
  2. 在左侧导航栏单击设置
  3. 设置页签的访问控制模块,您可进行以下操作。
    • 单击权限策略管理后的管理,跳转至RAM控制台,管理您当前账户下所有权限策略,具体内容请参见权限策略管理
    • 单击用户管理后的管理,跳转至RAM控制台,管理您账号下已创建的用户,具体内容请参见用户管理
    • 单击角色管理后的管理,跳转至RAM控制台,管理您账号下已创建的RAM角色,具体内容请参见角色管理
    访问控制

防护模式管理

要使用云安全中心,您必须在服务器上安装Agent插件。关于Agent插件的说明,请参见Agent说明;关于如何安装Agent插件,请参见安装Agent

Agent插件在服务器上运行时,会占用少量服务器资源。您可以调整Agent的运行模式,限制其资源占用量。以下表格是Agent支持的运行模式。
防护模式 最高内存或CPU占用 支持的版本 应用场景
基础防护模式
  • 内存占用:最高200MB
  • CPU占用:单核最高10%
基础版、基础杀毒版、高级版、企业版 基础防护模式适用于所有业务场景,极低的资源消耗对业务零影响。
说明 新购买的ECS默认开启基础防护模式。
高级防护模式
  • 内存占用:最高300MB
  • CPU占用:单核最高30%
基础杀毒版、高级版、企业版 高级防护模式适用于关键业务的安全防护场景。该模式开启大数据分析引擎、机器学习、深度学习引擎,可以挖掘更多可疑的入侵行为和潜在的威胁。
重保障模式
  • 内存占用:最高500MB
  • CPU占用:整体最高60%
企业版 重保护模式适用于重大活动的安全保障。该模式开启所有安全防护规则和安全引擎,通过智能化的规则提升告警检测引擎的敏感度,对任何可疑的入侵行为和潜在的威胁都会进行告警。
说明 选择任一防护模式时,当Agent占用资源超过限制峰值(具体峰值请参见以上表格最高内存或CPU占用列)时,Agent将会暂停工作,直至CPU使用率或内存占用下降到合理范围内,Agent会自动重启。

操作步骤

  1. 登录阿里云云安全中心控制台
  2. 在左侧导航栏单击设置
  3. 设置页签的防护模式管理区域,单击高级防护模式重保护模式区域的管理防护模式管理
  4. 高级防护模式重保护模式页面,选中需要配置高级防护模式重保护模式的服务器。为服务器设置防护模式
    说明 服务器Agent的运行模式只能选择高级防护模式重保护模式中的一种。例如某服务器当前是高级防护模式,如果您将该服务器设置为重保护模式,该服务器的防护模式会变为重保护模式
  5. 单击确定
  6. (可选)在重保护模式模块,在CPU阈值右侧设置CPU占用的阈值。设置重保护模式CPU阈值

    重保护模式支持设置CPU占用的阈值,阈值越高,防护更精准。可设置范围:5%~60%。默认取值5%。

    说明 重保护模式下告警检测类型多并且检测引擎的敏感度更高,会检测出更多的告警,可能会导致误报率增加。建议您及时关注并处理告警。

客户端自保护

开启客户端自保护后,云安全中心会对您服务器Agent目录下的进程文件提供默认保护,防止攻击者入侵服务器后卸载云安全中心Agent或您服务器中的其他进程误杀Agent,从而导致整个云安全中心防护失效。建议您开启客户端自保护防御模式。
说明 为全面保护您的服务器安全,服务器在开启了客户端自保护后,您将无法直接在控制台卸载Agent。如果您需要卸载Agent,必须先关闭服务器的客户端自保护。卸载Agent的详细操作步骤请参见操作步骤

仅云安全中心基础杀毒版、高级版和企业版支持客户端自保护功能。基础版用户需先升级到基础杀毒版、高级版或企业版,才能使用客户端自保护功能。

操作步骤

  1. 登录阿里云云安全中心控制台
  2. 在左侧导航栏单击设置
  3. 设置页签的客户端自保护区域,打开防御模式开关。客户端自保护区域

    客户端自保护防御模式开启后,您已安装了Agent的服务器会自动开启客户端自保护。

  4. 单击保护范围右侧的管理
  5. 配置需要开启或关闭客户端自保护的服务器并单击确定。 客户端自保护

    显示在已保护服务器列表中的服务器将开启客户端自保护功能,显示在未保护服务器列表中的服务器将关闭客户端自保护功能。

    说明 您的服务器开启客户端自保护后,自保护机制会立即生效。您的服务器关闭客户端自保护5分钟后,自保护机制才会关闭。