文档首页> 企业主机安全(旧版)HSS> 用户指南> 开通主机防护> (可选)步骤三:设置告警通知> 基础版/企业版/旗舰版
更新时间:2023-02-16 GMT+08:00
查看PDF

基础版/企业版/旗舰版

开启告警通知功能后,您能接收到企业主机安全服务发送的告警通知,及时了解主机/网页内的安全风险。否则,无论是否有风险,您都只能登录管理控制台自行查看,无法收到报警信息。

若您不设置告警通知,进入主机管理页面,HSS会自动弹出您未设置告警的提示框。

若您想屏蔽该提示框,您可以单击“快速设置”,设置告警通知,或者勾选“不再提醒”,并单击“暂不设置”,即可屏蔽该提示框。
  • 告警通知设置仅在当前区域生效,若需要接收其他区域的告警通知,请切换到对应区域后进行设置。
  • 告警通知信息可能会被误拦截,若您未收到相关告警信息,请在信息拦截中查看。
  • 消息通知服务为付费服务,价格详情请参见SMN价格详情

开启告警通知的必要性

告警通知开启后,企业主机安全服务一旦检测到有告警(包括但不限于对可疑帐号、未知端口、漏洞、暴力破解、病毒、恶意程序、异常shell、网页篡改、勒索入侵的告警),HSS在第一时间会将告警信息通过短信发送至您配置的移动设备,帮助您随时随地识别告警,及时对服务器采取安全加固、漏洞修复、手动查杀等防护措施,增强服务器防护能力。

前提条件

在设置告警通知前。
  • 如果选择“消息中心”,建议您在消息中心 > 消息接收配置 > 安全消息 > 安全事件通知,新增或修改消息接收人。
  • 如果选择“消息主题”,建议您先以管理员身份在“消息通知服务”中创建“消息主题”,详细操作请参见如何发布主题消息

告警通知方式分为“消息中心”“消息主题”

消息中心:使用消息中心和其它安全服务共同使用“安全事件通知”的信息接收人。

消息主题:为HSS单独创建的主题,设置告警通知接收人。

开启基础版/企业版/旗舰版的告警通知

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择安全与合规 > 企业主机安全,进入企业主机安全页面。
  3. 选择“告警通知”页签,进入“告警通知”页面,如图1所示。

    图1 基础版/企业版/旗舰版

  4. 根据需要勾选“每日告警通知”“实时告警通知”中的通知项。关于告警通知项详细说明,请参见告警通知项说明

    表1 选择通知项

    通知项

    说明

    选择建议

    每日告警通知

    每日凌晨,企业主机安全服务将主动检测主机系统中的帐号、Web目录、漏洞、恶意程序及关键配置等,汇总各项检测结果后,将检测结果发送给您在“消息中心”中添加的消息接收人,或者在“消息通知服务主题”中添加的订阅终端。
    • 接收并定期查看每日告警通知中所有的内容,能有效降低主机中未及时处理的风险成为主机安全隐患的概率。
    • 由于每日告警中通知项的内容较多,如果您使用的“消息通知服务”,接收告警通知,建议您选择“订阅终端”配置为“邮箱”“消息通知服务主题”

    实时告警通知

    当攻击者入侵主机时,企业主机安全服务将按照选定的“消息中心”或者“消息通知服务主题”为您告警。
    • 建议您接收实时告警通知中所有的内容并及时查看。企业安全服务实时监测主机中的安全情况,能监测到攻击者入侵主机的行为,接收实时告警通知能快速处理攻击者入侵主机的行为。
    • 由于实时告警中通知项的内容紧急度较高,如果您使用的“消息通知服务”,接收告警通知,建议您选择“订阅终端”配置为“短信”“消息通知服务主题”

  5. 选择“消息中心”或者“消息主题”告警通知方式,接收告警通知。

    • 选择“消息中心”

      告警通知默认发送给帐号联系人,修改接收配置可到消息中心 > 消息接收配置 > 安全消息 > 安全事件通知,新增或修改接收人。

      图2 新增或修改接收人
    • 选择“消息主题”

      单击下拉列表选择已创建的主题,或者单击“查看消息通知服务主题”创建新的主题。

      创建新的主题,即配置接收告警通知的手机号码或邮箱地址,具体操作如下:
      1. 参见创建主题创建一个主题。
      2. 配置接收告警通知的手机号码或邮箱地址,即为创建的主题添加一个或多个订阅,具体操作请参见添加订阅
      3. 确认订阅。添加订阅后,按接收到的短信或邮件提示,完成订阅确认。

        主题订阅确认的信息可能被当成垃圾短信拦截,如未收到,请查看是否设置了垃圾短信拦截。

      您可以根据运维计划和告警通知类型,创建多个“消息通知主题”,以接收不同类型的告警通知。更多关于主题和订阅的信息,请参见《消息通知服务用户指南》

  6. 单击“应用”,完成配置主机安全告警通知的操作。界面弹出“告警通知设置成功”提示信息,则说明告警通知设置成功。

告警通知项说明

通知项

通知内容

通知内容说明

每日告警通知

每日凌晨检测主机中的风险,汇总并统计检测结果后,将检测结果于每日上午10:00发送给你添加的手机号或者邮箱。

资产管理

危险端口

检测开放了的危险端口或者不必要的端口,通知用户及时排查这些端口是否用于正常业务。

漏洞管理

紧急漏洞

检测系统中的紧急漏洞,通知用户尽快修复,防止攻击者利用该漏洞会对主机造成较大的破坏。

入侵检测

帐户破解防护
检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。
  • 如果30秒内,帐户暴力破解次数(连续输入错误密码)达到5次及以上,HSS就会拦截该源IP,禁止其再次登录,防止主机因帐户破解被入侵。

    SSH类型攻击默认拦截12小时,其他类型攻击默认拦截24小时。

  • 根据帐户暴力破解告警详情,如“攻击源IP”“攻击类型”“拦截次数”,您能够快速识别出该源IP是否为可信IP,如果为可信IP,您可以通过手动解除拦截的方式,解除拦截的可信IP。

关键文件变更

对于关键文件变更,HSS只检测目录或文件是否被修改,不关注是人为或者某个进程修改的。

恶意程序

通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出主机中未知的恶意程序和病毒变种,并提供一键隔离查杀能力。

网站后门

检测云服务器上Web目录中的文件,判断是否为WebShell木马文件,支持检测常见的PHP、JSP等后门文件类型。

反弹Shell

实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。

异常Shell

检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。

高危命令执行

HSS实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。

提权操作

HSS检测当前系统的“进程提权”“文件提权”操作。

Rootkit程序

HSS检测Rootkit安装的文件和目录,帮助用户及时发现可疑的Rootkit安装。

基线检查

弱口令

检测MySQL、FTP及系统帐号的弱口令。

风险帐号

检测系统中的可疑帐号、主机中无用的帐号,防止未授权的访问权限和使用操作。

配置风险

检测系统中的关键应用,如果采用不安全配置,有可能被黑客利用作为入侵主机系统的手段。

帐户登录

异地登录

检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施。

若在非常用登录地登录,则触发安全事件告警。

实时告警通知

事件发生时,及时发送告警通知。

入侵检测

帐户异常登录

检测“异地登录”“帐户暴力破解成功”等异常登录。若发生异常登录,则说明您的主机可能被黑客入侵成功。

恶意程序

通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出主机中未知的恶意程序和病毒变种,并提供一键隔离查杀能力。

关键文件变更

对于关键文件变更,HSS只检测目录或文件是否被修改,不关注是人为或者某个进程修改的。

网站后门

检测云服务器上Web目录中的文件,判断是否为WebShell木马文件,支持检测常见的PHP、JSP等后门文件类型。

反弹Shell

实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。

异常Shell

检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。

高危命令执行

HSS实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。

提权操作

HSS检测当前系统的“进程提权”“文件提权”操作。

Rootkit程序

HSS检测Rootkit安装的文件和目录,帮助用户及时发现可疑的Rootkit安装。

帐户登录

登录成功通知

如果在“实时告警通知”项目中勾选了“登录成功通知”选项,则任何帐户登录成功的事件都会向您实时发送告警信息。

如果您所有主机上的帐户都由个别管理员负责管理,通过该功能可以对系统帐户进行严格的监控。

如果系统帐户由多人管理,或者不同主机由不同管理员负责管理,那么运维人员可能会因为频繁收到不相关的告警而对运维工作造成困扰,此时建议您登录企业主机安全服务控制台关闭该告警项。

说明:

登录成功并不代表发生了攻击,需要您确认登录IP是否是已知的合法IP。