云安全中心提供了惡意主機行為防御、防勒索、網站后門連接防御等安全能力,您可以通過設置相應的安全能力為您的服務器開啟安全防護。本文介紹主機防護設置支持的功能及如何設置相應功能。
主動防御
功能介紹
云安全中心的主動防御能力為您自動攔截常見病毒、惡意網絡連接和網站后門連接,并設置誘餌捕獲勒索病毒。以下表格是各功能的詳細介紹。
功能 | 支持的版本 | 描述 |
惡意主機行為防御 | 防病毒版、高級版、企業版、旗艦版 | 惡意主機行為防御功能能夠自動攔截并查殺常見網絡病毒,包括主流勒索病毒、DDoS木馬、挖礦和木馬程序、惡意程序、后門程序和蠕蟲病毒等。 購買云安全中心防病毒版及以上版本后,云安全中心默認開啟惡意主機行為防御功能,并將您所有服務器添加到該功能的檢測范圍內。
說明 感染型病毒是一類高級惡意程序,由病毒本體將惡意代碼寫入正常程序文件執行,因此往往有大量原本正常程序被感染后作為宿體被檢出。感染型病毒可能會危害系統進程,終止系統進程會造成系統穩定性風險。因此云安全中心不會自動隔離感染型病毒,您需要手動處理此類病毒。 |
防勒索(誘餌捕獲) | 防病毒版、高級版、企業版、旗艦版 | 防勒索(誘餌捕獲)提供了捕捉新型勒索病毒的誘餌,并通過病毒行為分析,自動啟動新型勒索病毒的防御。 云安全中心在您服務器中設置的勒索捕獲誘餌文件僅用于捕獲新型勒索病毒,不會對您的業務產生任何影響,請您放心使用該功能。您可以在安全告警處理頁面,將告警類型設置為精準防御,查看云安全中心為您查殺的防勒索病毒。 |
網站后門連接防御 | 企業版、旗艦版 | 開啟該功能后,云安全中心會自動攔截黑客通過已知網站后門進行的異常連接行為,并隔離相關文件。您可以在安全告警處理頁面查看相應告警和被隔離的文件。更多信息,請參見查看和處理安全告警和查看和恢復隔離文件。 說明 您購買了企業版或旗艦版后,云安全中心默認為您開啟網站后門連接防御功能,并將您的所有服務器添加到網站后門連接防御的檢測范圍內。 |
惡意網絡行為防御 | 企業版、旗艦版 | 開啟該功能后,云安全中心將攔截您的服務器和已披露的惡意訪問源之間的網絡行為,為您的服務器增強安全防護。 |
主動防御體驗優化 | 企業版、旗艦版 | 開啟該功能后,如果服務器異常關機或安全防御能力缺失時,云安全中心將采集服務器Kdump數據進行安全防護分析,不斷提升云安全中心的安全防御能力。 |
如果您主動防御區域的所有功能都為關閉狀態,云安全中心將以安全告警的形式向您展示在您服務器上檢測出的病毒,您需要在控制臺手動處理病毒相關告警。建議您開啟主動防御區域所有的功能,加固服務器安全防線。處理安全告警的具體操作,請參見查看和處理安全告警。
開啟防御能力
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
選擇頁簽,在主動防御區域打開惡意主機行為防御、防勒索(誘餌捕獲)、網站后門連接防御和惡意網絡行為防御開關。
打開主動防御區域的所有開關后,云安全中心將從惡意主機防御行為、防勒索、防網站后門異常連接和防惡意源訪問等多方位為您的服務器提供安全防護。
單擊主動防御類型右側的管理,選擇攔截病毒或惡意行為生效的服務器范圍,然后單擊確定。
開啟惡意主機行為防御、防勒索(誘餌捕獲)、網站后門連接防御和惡意網絡行為防御服務后,云安全中心將自動攔截病毒運行的相關程序、進程等,同時阻斷異常連接。
(可選)選中主動防御體驗優化復選框。
選中主動防御體驗優化有助于云安全中心獲取服務器異常情況下安全防護數據,為您提升安全防護能力。建議選中該項。
后續步驟
在安全告警處理頁面精準防御類型告警列表中,查看被主動防御功能自動攔截的病毒。您需要將搜索條件置為已處理,并且告警類型選擇精準防御。
網站后門查殺
網站后門查殺功能使用自主查殺引擎檢測網站服務器、網頁目錄中的網站后門及木馬程序,采用周期性靜態檢測和動態檢測相結合的檢測機制,并提供一鍵手動隔離功能。只有服務器開啟網站后門查殺檢測后,云安全中心客戶端才會執行網站后門檢測。以下是檢測和處理能力的說明:
每日凌晨掃描整個Web目錄進行靜態檢測;Web目錄文件發生變動時會觸發動態檢測。
支持配置網站后門檢測的資產范圍置。
支持隔離、恢復和忽略發現的Webshell文件。
免費版僅支持部分類型WebShell檢測,云安全中心其他付費版本支持所有類型的WebShell檢測。如需較全面的WebShell檢測,建議您升級到防病毒版、高級版、企業版或旗艦版。升級的具體操作,請參見升級與降配。
配置網站后門查殺檢測開關
云安全中心默認為所有已安裝云安全中心客戶端的服務器開啟網站后門查殺檢測。建議您為所有對外提供Web服務的服務器開啟網站后門查殺檢測。如果您的服務器處于完全封閉的內網,您可以參考下述步驟為對應服務器關閉網站后門查殺。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
選擇頁簽,在網站后門查殺區域單擊管理。
在網站后門查殺范圍面板,取消選中需關閉網站后門查殺的服務器,并單擊確定。
處理網站后門查殺告警
為服務器開啟網站后門查殺后,當云安全中心檢測到您的服務器中存在后門Webshell文件等安全威脅時,會在安全告警處理頁面為您展示相應告警。您可以前往安全告警處理頁面查看并處理告警類型為網站后門的告警。未處理的網站后門告警可能會對您的資產安全造成嚴重威脅,建議您及時處理此類告警。
不支持云安全中心免費版用戶一鍵處理網站后門告警,防病毒版及以上版本用戶可在控制臺一鍵隔離檢測出問題的Webshell文件。具體操作,請參見查看和處理安全告警。
自適應威脅檢測能力
自適應威脅檢測能力默認為關閉狀態,您需要手動開啟該功能。開啟該功能后,如果云安全中心在您的服務器中檢測到高危風險(即高危告警),會自動為您的服務器客戶端開啟期限為7天的嚴格告警模式。嚴格告警模式開啟所有安全防護規則和安全引擎,會對任何可疑的入侵行為和潛在的威脅進行告警,可以更全面地檢測黑客的入侵行為。
云安全中心自動為您的服務器開啟了期限為7天的嚴格告警模式時,如果您在這7天中,手動設置了該服務器的防護模式,7天到期后云安全中心將不會自動為該服務器關閉嚴格告警模式,該服務器會一直保持您手動設置的防護模式。
版本限制
僅云安全中心的企業版和旗艦版支持該功能,其他版本不支持。購買和升級云安全中心服務的具體操作,請參見購買云安全中心和升級與降配。
開啟自適應威脅檢測能力
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
選擇頁簽,在自適應威脅檢測能力區域打開動態自適應威脅檢測開關。
說明如果您之前未授權云安全中心訪問您的云資源,您需要先根據頁面提示完成授權操作。該操作是授權云安全中心訪問您的云資源。授權成功后,訪問控制服務會自動創建服務關聯AliyunServiceRoleForSas,云安全中心使用此角色訪問您其他產品中的云資源,為其他云資源提供安全防護。更多信息,請參見云安全中心服務關聯角色。
告警設置
云安全中心針對服務器告警提供了不同的告警模式,可以滿足您不同應用場景下的安全需求。云安全中心默認為所有已接入的服務器開啟均衡模式,該模式下,經過阿里云專家的綜合測試情況,會在保障較少誤報的情況下檢測出更多可疑風險。
修改告警模式
如果您需要對服務器進行更嚴格檢測,您可以將服務器告警模式修改為嚴格模式。
嚴格模式下,阿里云會檢測出更多的可疑行為告警,但會存在一定的誤報風險,建議在重保期間謹慎使用。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。
在左側導航欄,選擇。
選擇頁簽,在告警設置區域單擊嚴格模式右側的管理。
選擇需要加入嚴格模式的服務器,然后單擊確定。