计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机服务器 CPH
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
VPC终端节点 VPCEP
云连接 CC
企业路由器 ER
企业交换机 ESW
全球加速 GA
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
边缘安全 EdgeSec
威胁检测服务 MTD
CDN与智能边缘
内容分发网络 CDN
CloudPond云服务
智能边缘云 IEC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
云搜索服务 CSS
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
数据可视化 DLV
数据湖工厂 DLF
湖仓构建 LakeFormation
企业应用
云桌面 Workspace
应用与数据集成平台 ROMA Connect
云解析服务 DNS
专属云
专属计算集群 DCC
IoT物联网
IoT物联网
设备接入 IoTDA
智能边缘平台 IEF
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
ICP备案
我的凭证
支持计划
客户运营能力
合作伙伴支持计划
专业服务
区块链
区块链服务 BCS
Web3节点引擎服务 NES
解决方案
SAP
高性能计算 HPC
视频
视频直播 Live
视频点播 VOD
媒体处理 MPC
实时音视频 SparkRTC
数字内容生产线 MetaStudio
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
存储容灾服务 SDRS
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属分布式存储服务 DSS
容器
云容器引擎 CCE
容器镜像服务 SWR
应用服务网格 ASM
华为云UCS
云容器实例 CCI
管理与监管
云监控服务 CES
统一身份认证服务 IAM
资源编排服务 RFS
云审计服务 CTS
标签管理服务 TMS
云日志服务 LTS
配置审计 Config
资源访问管理 RAM
消息通知服务 SMN
应用运维管理 AOM
应用性能管理 APM
组织 Organizations
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
应用身份管理服务 OneAccess
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库 GeminiDB
云数据库 GaussDB
分布式数据库中间件 DDM
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
人脸识别服务 FRS
图引擎服务 GES
图像识别 Image
内容审核 Moderation
文字识别 OCR
AI开发平台ModelArts
图像搜索 ImageSearch
对话机器人服务 CBS
华为HiLens
视频智能分析服务 VIAS
语音交互服务 SIS
应用中间件
分布式缓存服务 DCS
API网关 APIG
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
多活高可用服务 MAS
事件网格 EG
企业协同
华为云会议 Meeting
云通信
消息&短信 MSGSMS
云生态
合作伙伴中心
云商店
开发者工具
SDK开发指南
API签名指南
Terraform
华为云命令行工具服务 KooCLI
其他
产品价格详情
系统权限
管理控制台
客户关联华为云合作伙伴须知
消息中心
公共问题
开发与运维
应用管理与运维平台 ServiceStage
软件开发生产线 CodeArts
需求管理 CodeArts Req
部署 CodeArts Deploy
性能测试 CodeArts PerfTest
编译构建 CodeArts Build
流水线 CodeArts Pipeline
制品仓库 CodeArts Artifact
测试计划 CodeArts TestPlan
代码检查 CodeArts Check
代码托管 CodeArts Repo
云应用引擎 CAE
开天aPaaS
云消息服务 KooMessage
云手机服务 KooPhone
云空间服务 KooDrive
本文导读

开启告警通知

更新时间:2025-02-12 GMT+08:00
开启告警通知功能后,您能接收到企业主机安全发送的告警通知,及时了解主机/容器/网页内的安全风险。否则,无论是否有风险,您都只能登录管理控制台自行查看,无法收到报警信息。
  • 告警通知设置仅在当前区域生效,如果需要接收其他区域的告警通知,请切换到对应区域后进行设置。
  • 告警通知信息可能会被误拦截,如果您未收到相关告警信息,请在信息拦截中查看。
  • 消息通知服务为付费服务,价格详情请参见SMN价格详情

开启告警通知

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 在左侧导航树选择安装与配置 > 告警配置,进入“告警配置”页面,配置参数说明请参见表1

    说明:

    如果您的服务器已通过企业项目的模式进行管理,您可在页面上方“企业项目”下拉框中选择目标企业项目后配置目标企业项目的告警通知。

    • 选择单个企业项目,配置的告警通知信息仅在对应的企业项目内生效。
    • 选择“所有项目”,配置的告警通知信息将生效于所有企业项目。
    图1 告警配置
    表1 告警配置参数

    通知项

    说明

    选择建议

    每日告警通知

    每日凌晨,企业主机安全将主动检测主机系统中的账号、Web目录、漏洞、恶意程序及关键配置等,汇总各项检测结果后,将检测结果发送给您在“消息中心”中添加的消息接收人,或者在“消息通知服务主题”中添加的订阅终端。

    单击“查看每日告警默认通知事件”可查看通知项。

    • 接收并定期查看每日告警通知中所有的内容,能有效降低主机中未及时处理的风险成为主机安全隐患的概率。
    • 由于每日告警中通知项的内容较多,如果您使用的“消息通知服务”,接收告警通知,建议您选择“订阅终端”配置为“邮箱”“消息通知服务主题”

    实时告警通知

    当攻击者入侵主机时,企业主机安全将按照选定的“消息中心”或者“消息通知服务主题”为您告警。

    单击“查看实时告警默认通知事件”可查看通知项。

    • 建议您接收实时告警通知中所有的内容并及时查看。企业主机安全实时监测主机中的安全情况,能监测到攻击者入侵主机的行为,接收实时告警通知能快速处理攻击者入侵主机的行为。
    • 由于实时告警中通知项的内容紧急度较高,如果您使用的“消息通知服务”,接收告警通知,建议您选择“订阅终端”配置为“短信”“消息通知服务主题”

    告警等级

    自定义勾选通知的告警等级。

    选择全部。

    屏蔽事件

    选择无需发送告警通知的事件。

    展开选框可自定义选择不发送告警的事件类型。

    根据告警通知项说明的内容说明判断需要屏蔽的事件。

  4. 设置事件告警的通知方式。

    • 消息中心

      告警通知默认发送给账号联系人的消息中心,可登录系统在右上角查看。

      如需修改接收人,单击“消息接收管理”,跳转至消息中心,在安全消息 > 安全事件通知单击“操作”列的“修改”,编辑消息接收人,如图2所示。

      图2 编辑消息接收人
    • 消息主题

      单击下拉列表选择已创建的主题,或者单击“查看消息通知服务主题”创建新的主题。

      创建新的主题,即配置接收告警通知的手机号码或邮箱地址,具体操作如下:
      1. 参见创建主题创建一个主题。
      2. 配置接收告警通知的手机号码或邮箱地址,即为创建的主题添加一个或多个订阅,具体操作请参见添加订阅
      3. 确认订阅。添加订阅后,按接收到的短信或邮件提示,完成订阅确认。

        主题订阅确认的信息可能被当成垃圾短信拦截,如未收到,请查看是否设置了垃圾短信拦截。

      您可以根据运维计划和告警通知类型,创建多个“消息通知主题”,以接收不同类型的告警通知。更多关于主题和订阅的信息,请参见《消息通知服务用户指南》

  5. 单击“应用”,完成配置主机安全告警通知的操作。界面弹出“告警通知设置成功”提示信息,则说明告警通知设置成功。

告警通知项说明

  • 每日告警通知

    每日凌晨检测主机中的风险,汇总并统计检测结果后,将检测结果于每日上午10:00发送给您添加的手机号或者邮箱。

    表2 每日告警通知

    通知项

    通知内容

    通知内容说明

    资产管理

    危险端口

    检测开放了的危险端口或者不必要的端口,通知用户及时排查这些端口是否用于正常业务。

    未安装Agent

    检测当前账号未安装企业主机安全Agent的服务器数量,通知用户及时对这些服务器安装Agent进行防护。

    防护中断

    检测Agent防护中断的服务器数量,通知用户及时排除故障。

    漏洞管理

    需紧急修复漏洞

    检测系统中的紧急漏洞,通知用户尽快修复,防止攻击者利用该漏洞会对主机造成较大的破坏。

    基线检查

    配置检查

    检测系统中的关键应用,如果采用不安全配置,有可能被黑客利用作为入侵主机系统的手段。

    经典弱口令

    检测MySQL、FTP及系统账号的弱口令。

    入侵检测

    未分类恶意软件

    对运行中的程序进行检测,识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。

    Rootkits

    检测服务器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。

    勒索软件

    检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。

    勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产,并以此作为向您勒索钱财的筹码。

    Webshell

    检测云服务器上Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。

    • 网站后门检测信息包括“木马文件路径”“状态”“首次发现时间”“最后发现时间”。您可以根据网站后门信息忽略可信文件。
    • 您可以使用手动检测功能检测主机中的网站后门。

    反弹Shell

    实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。

    支持对TCP、UDP、ICMP等协议的检测。

    Redis漏洞利用

    实时检测Redis进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

    Hadoop漏洞利用

    实时检测Hadoop进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

    MySQL漏洞利用

    实时检测MySQL进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

    文件提权

    检测当前系统对文件的提权。

    进程提权

    检测以下进程提权操作:
    • 利用SUID程序漏洞进行root提权。
    • 利用内核漏洞进行root提权。

    关键文件变更

    对于系统关键文件进行监控,文件被修改时告警,提醒用户关键文件存在被篡改的可能。

    文件/目录变更

    对于系统文件/目录进行监控,文件/目录被修改时告警,提醒用户文件/目录存在被篡改的可能。

    进程异常行为

    检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。

    对于进程的非法行为、黑客入侵过程进行告警。

    进程异常行为可以监控以下异常行为:

    • 监控进程CPU使用异常。
    • 检测进程对恶意IP的访问。
    • 检测进程并发连接数异常等。

    高危命令执行

    实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。

    异常Shell

    检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。

    Crontab可疑任务

    检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。

    帮助用户通过自启动变更情况,及时发现异常自启动项,快速定位木马程序的问题。

    容器镜像阻断

    在Docker环境中容器启动前,对镜像异常行为策略中指定的不安全容器镜像进行告警并阻断。

    暴力破解

    检测“尝试暴力破解”“暴力破解成功”等暴力破解。

    • 检测账户遭受的口令破解攻击,封锁攻击源,防止云主机因账户破解被入侵。
    • 如果账户暴力破解成功,登录到云主机,则触发安全事件告警。

    异常登录

    检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施(例如:忽略、修改密码等)。

    如果在非常用登录地登录,则触发安全事件告警。

    非法系统账号

    检测主机系统中的账号,列出当前系统中的可疑账号信息,帮助用户及时发现非法账号。

    漏洞逃逸攻击

    监控到容器内进程行为符合已知漏洞的行为特征时(例如:“脏牛”“bruteforce”“runc”“shocker”等),触发逃逸漏洞攻击告警。

    文件逃逸攻击

    监控发现容器进程访问了宿主机系统的关键文件目录(例如:“/etc/shadow”“/etc/crontab”),则认为容器内发生了逃逸文件访问,触发告警。即使该目录符合容器配置的目录映射规则,仍然会触发告警。

    容器进程异常

    容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程,可以在控制台配置安全策略设置进程白名单并将策略关联容器镜像。

    对于已关联的容器镜像启动的容器,只允许白名单进程启动,如果容器内存在非白名单进程,触发容器异常程序告警。

    容器异常启动

    对容器启动时使用不合规的参数进行检测告警。

    容器启动时可以带有很多参数,对容器进行权限设置。如果没有正确设置,可能会导致权限过大,给攻击者留下可以利用的方式。

    高危系统调用

    Linux系统调用是用户进程进入内核执行任务的请求通道。监控容器进程,如果发现进程使用了危险系统调用(例如:“open_by_handle_at”“ptrace”“setns”“reboot”等),触发高危系统调用告警。

    敏感文件访问

    检测重要文件的提权或持久化等访问行为,对访问行为进行告警。

    Windows网页防篡改

    防止网站Windows服务器中的静态网页文件被篡改。

    Linux网页防篡改

    防止网站Linux服务器中的静态网页文件被篡改。

    动态网页防篡改

    防止网站Windows和Linux服务器中的动态网页文件被篡改。

    应用防护

    为运行时的应用提供安全防御。您无需修改应用程序文件,只需将探针注入到应用程序,即可为应用提供强大的安全防护能力。

    当前只支持操作系统为Linux的服务器,且仅支持Java应用接入。

    病毒查杀

    针对检测到的病毒文件进行告警。

    可疑进程运行

    检测未经过认证或授权的应用进程运行,一旦发现进行告警。

    可疑进程文件访问

    检测未经过认证或授权的进程访问指定的目录,一旦发现进行告警。

  • 实时告警通知

    事件发生时,及时发送告警通知。

    表3 实时告警通知

    通知项

    通知内容

    通知内容说明

    资产管理

    危险端口

    检测开放了的危险端口或者不必要的端口,通知用户及时排查这些端口是否用于正常业务。

    未安装Agent

    检测当前账号未安装企业主机安全Agent的服务器,通知用户及时对这些服务器安装Agent进行防护。

    防护中断

    检测Agent防护中断的服务器,通知用户及时排除故障。

    入侵检测

    未分类恶意软件

    对运行中的程序进行检测,识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。

    Rootkits

    检测服务器资产,对可疑的内核模块和可疑的文件或文件夹进行告警上报。

    勒索软件

    检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。

    勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产,并以此作为向您勒索钱财的筹码。

    Webshell

    检测云服务器上Web目录中的文件,判断是否为Webshell木马文件,支持检测常见的PHP、JSP等后门文件类型。

    • 网站后门检测信息包括“木马文件路径”“状态”“首次发现时间”“最后发现时间”。您可以根据网站后门信息忽略可信文件。
    • 您可以使用手动检测功能检测主机中的网站后门。

    反弹Shell

    实时监控用户的进程行为,及时发现进程的非法Shell连接操作产生的反弹Shell行为。

    支持对TCP、UDP、ICMP等协议的检测。

    Redis漏洞利用

    实时检测Redis进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

    Hadoop漏洞利用

    实时检测Hadoop进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

    MySQL漏洞利用

    实时检测MySQL进程对服务器关键目录的修改行为,并对发现的修改行为进行告警上报。

    文件提权

    检测当前系统对文件的提权。

    进程提权

    检测以下进程提权操作:
    • 利用SUID程序漏洞进行root提权。
    • 利用内核漏洞进行root提权。

    关键文件变更

    对于系统关键文件进行监控,文件被修改时告警,提醒用户关键文件存在被篡改的可能。

    文件/目录变更

    对于系统文件/目录进行监控,文件/目录被修改时告警,提醒用户文件/目录存在被篡改的可能。

    进程异常行为

    检测各个主机的进程信息,包括进程ID、命令行、进程路径、行为等。

    对于进程的非法行为、黑客入侵过程进行告警。

    进程异常行为可以监控以下异常行为:

    • 监控进程CPU使用异常。
    • 检测进程对恶意IP的访问。
    • 检测进程并发连接数异常等。

    高危命令执行

    实时检测当前系统中执行的高危命令,当发生高危命令执行时,及时触发告警。

    异常Shell

    检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。

    Crontab可疑任务

    检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。

    帮助用户通过自启动变更情况,及时发现异常自启动项,快速定位木马程序的问题。

    容器镜像阻断

    在Docker环境中容器启动前,对镜像异常行为策略中指定的不安全容器镜像进行告警并阻断。

    异常登录

    检测主机异地登录行为并进行告警,用户可根据实际情况采取相应措施(例如:忽略、修改密码等)。

    如果在非常用登录地登录,则触发安全事件告警。

    非法系统账号

    检测主机系统中的账号,列出当前系统中的可疑账号信息,帮助用户及时发现非法账号。

    漏洞逃逸攻击

    监控到容器内进程行为符合已知漏洞的行为特征时(例如:“脏牛”“bruteforce”“runc”“shocker”等),触发逃逸漏洞攻击告警。

    文件逃逸攻击

    监控发现容器进程访问了宿主机系统的关键文件目录(例如:“/etc/shadow”“/etc/crontab”),则认为容器内发生了逃逸文件访问,触发告警。即使该目录符合容器配置的目录映射规则,仍然会触发告警。

    容器进程异常

    容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程,可以在控制台配置安全策略设置进程白名单并将策略关联容器镜像。

    对于已关联的容器镜像启动的容器,只允许白名单进程启动,如果容器内存在非白名单进程,触发容器异常程序告警。

    容器异常启动

    对容器启动时使用不合规的参数进行检测告警。

    容器启动时可以带有很多参数,对容器进行权限设置。如果没有正确设置,可能会导致权限过大,给攻击者留下可以利用的方式。

    高危系统调用

    Linux系统调用是用户进程进入内核执行任务的请求通道。监控容器进程,如果发现进程使用了危险系统调用(例如:“open_by_handle_at”“ptrace”“setns”“reboot”等),触发高危系统调用告警。

    敏感文件访问

    检测重要文件的提权或持久化等访问行为,对访问行为进行告警。

    Windows网页防篡改

    防止网站Windows服务器中的静态网页文件被篡改。

    Linux网页防篡改

    防止网站Linux服务器中的静态网页文件被篡改。

    动态网页防篡改

    防止网站Windows和Linux服务器中的动态网页文件被篡改。

    应用防护

    为运行时的应用提供安全防御。您无需修改应用程序文件,只需将探针注入到应用程序,即可为应用提供强大的安全防护能力。

    当前只支持操作系统为Linux的服务器,且仅支持Java应用接入。

    自动化阻断

    对恶意程序自动隔离查杀、勒索病毒自动阻断、网页防篡改自动阻断成功的事件进行通知。

    可疑进程运行

    检测未经过认证或授权的应用进程运行,一旦发现进行告警。

    可疑进程文件访问

    检测未经过认证或授权的进程访问指定的目录,一旦发现进行告警。

    账户登录

    登录成功

    对登录成功的账户进行通知。

    主机防御

    勒索防护关闭

    对勒索病毒防护异常关闭或手动关闭的情况发送告警通知。

我们使用cookie来确保您的高速浏览体验。继续浏览本站,即表示您同意我们使用cookie。 详情

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容