本文档旨在指导用户如何进行告警设置,以便及时获取主机安全告警、日志容量预警、客户端运行情况、安全播报等消息。
告警目录
告警大类 | 告警类型 | 告警项 | 告警主机范围 | 站内信/短信/邮件等 | 机器人通知 |
| | | | 告警时间 | 告警时间 |
入侵检测 | 文件查杀-恶意文件 | 严重、高危、中危、低危、提示。 | 全部/自定义 | 全天/自定义 说明: 为减少对用户的打扰,告警已做如下限制: 告警时间周期开始时,前3条安全告警实时通知,后续每2小时汇总通知1次。 非告警时间段内产生的告警,将在告警时间开始时统一汇总通知。 | 实时 |
| 文件查杀-异常进程 | 检测到内存中存在正在运行的异常进程。 | | | |
| 异常登录 | 高危、可疑。 | | | |
| 密码破解 | 登录密码被破解成功。 | | | |
| 恶意请求 | 服务器请求了恶意域名。 | | | |
| 高危命令 | 高危、中危、低危。 | | | |
| 本地提权 | 系统中出现低权限试图提高权限。 | | | |
| 反弹 Shell | 服务器上出现 Shell 反向连接。 | | | |
漏洞管理 | 应急漏洞 | 严重、高危、中危、低危。 | | | |
| Linux 软件漏洞 | 严重、高危、中危、低危。 | | | |
| Windows 系统漏洞 | 严重、高危、中危、低危。 | | | |
| Web-CMS 漏洞 | 严重、高危、中危、低危。 | | | |
| 应用漏洞 | 严重、高危、中危、低危。 | | | |
| 漏洞防御 | 已成功防御的漏洞利用攻击事件。 | | | |
基线管理 | 安全基线 | 存在检测不通过的基线项(账号相关、弱口令、未授权类的基线)。 | | | |
高级防御 | 网络攻击 | 攻击成功、尝试攻击。 | | | |
| Java 内存马 | 检测到 JavaWeb 服务进程中存在内存马。 | | | |
| 核心文件监控 | 高危、中危、低危、无。 | | | |
客户端相关 | 客户端离线 | 检测到客户端异常离线,且达到一定时间未重新上线。 | | | |
| 客户端卸载 | 检测到客户端被卸载。 | | | |
日志分析 | 日志分析存储 | 当日志存储量达到一定百分比将触发日志存储告警。 | 不涉及 | 实时 | |
资讯相关 | 安全播报 | 安全公告、版本发布、功能更新、最佳实践、行业荣誉。 | | | |
站内信/短信/邮件等
1. 在配置告警规则之前,须先确保已关闭 消息中心 > 订阅管理 中主机安全的消息免打扰开关,并设置接收渠道和接收人。
接收渠道:主机安全支持站内信、邮件、短信、微信、企业微信接收,暂不支持语音接收(勾选不生效)。
消息接收人:支持用户、用户组、IM 应用、机器人。
2. 在主机安全控制台 设置中心 > 告警设置 中,选择站内信/短信/邮件等进行告警规则配置即可。
机器人通知
通过机器人作为消息接收人,可将消息通知到 IM 群中,上述方式也支持机器人通知,但仅可基于站内信/短信/邮件等所配置的告警规则进行通知。如果您希望为不同的机器人配置不同的告警规则,可以采用这种方法进行配置。
说明:
1. 登录 主机安全控制台,在左侧导航栏,选择设置中心 > 告警设置。
2. 在告警设置页面,选择机器人通知 > 接收机器人管理。
3. 单击新建机器人,填写机器人名称和 Webhook 地址,单击保存。
4. 选择告警策略配置,单击新建告警策略,配置策略名称、启用状态、告警范围等信息并关联刚刚创建的接收机器人。
5. 单击保存,后续主机安全将按您配置的策略进行消息通知。
