Security Center支援在其他配置中設定全域日誌過濾、安全管控和存取控制功能。本文介紹其他配置支援的功能及如何配置相應功能。
全域日誌過濾
Security Center提供全域日誌過濾能力,在保障安全效果防護的同時,有效使用日誌儲存空間,提升您的營運效率。
原理說明
全域日誌過濾功能基於以下兩個維度對Security Center用戶端的日誌進行過濾。
基於特定欄位,在時間維度彙總的過濾
將資料擷取的特定欄位,例如cmdline命令列、username使用者名稱、pcmdline父進程命令列等欄位,按一定順序組合成key,並在單位時間內彙總過濾相同key的事件,統計相同特徵的事件出現次數,次數未超過設定的閾值,正常上報;次數超過閾值則過濾。
基於進程鏈的過濾
將採集事件的進程鏈做歸一化處理,提取特徵作為過濾的key。在一個過濾周期內,統計相同特徵的事件出現次數,次數未超過設定的閾值,正常上報;次數超過閾值則過濾。
前提條件
已開通日誌分析服務。具體操作,請參見開通日誌分析。
如果您未開通日誌分析服務,控制台將不顯示全域日誌過濾功能。
開啟全域日誌過濾
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。在左側導覽列,選擇 。
在設定頁簽的其它配置子頁簽,開啟全域日誌過濾地區的日誌過濾開關。
安全管控
安全管控功能支援配置IP地址白名單,Security Center可允許存取加入到白名單中的IP地址。如果Security Center將正常訪問的IP地址識別為風險IP並對其進行攔截,導致部分業務受影響,您可通過安全管控功能設定IP白名單,允許存取因誤判被攔截的IP地址。Security Center不會對添加至IP白名單的IP地址進行警示或攔截。
將某個IP地址加入IP白名單後,該IP地址在訪問您的(部分或所有)伺服器時將不受任何限制。添加IP白名單時請謹慎操作。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。在左側導覽列,選擇 。
在設定頁簽的其它配置子頁簽,單擊安全管控地區的配置,跳轉至安全控制控制台。
在左側導覽列,選擇 。
在IP白名單頁面,單擊添加。
在添加對話方塊,輸入源IP(非當前阿里雲帳號下的IP地址),選中需要生效的Elastic Compute Service,並單擊確定。
操作完成後,所輸入的訪問源IP會被加入所選擇的Elastic Compute Service的訪問白名單,所有來自該源IP對您阿里雲帳號下目標ECS的訪問都不受任何安全管控限制。
可選:建立IP白名單後,您可以查看IP白名單列表或執行失效操作。
查看白名單列表
在IP白名單頁面,您可以查看IP白名單記錄。
使IP白名單失效
如需再次管控指定IP白名單的訪問,您可以單擊該IP白名單操作列的失效,並在提示對話方塊,單擊確定。
說明執行失效操作後,來自該源IP的訪問將重新受安全管控限制。
存取控制
使用阿里雲存取控制RAM(Resource Access Management)服務您可以建立、管理RAM使用者(例如員工、系統或應用程式),並控制這些RAM使用者對資源的操作許可權。當您的企業存在多使用者協同操作資源的情境時,RAM可以讓您避免與其他使用者共用雲帳號密鑰,按需為使用者指派最小許可權,從而降低企業的資訊安全風險。
如果您的企業存在多使用者協同操作雲上資源的情境,為了避免給企業使用者授予過多不必要的許可權,給企業的資產安全帶來較大的風險,建議您定期前往RAM控制台確認企業使用者的許可權授予情況。設定企業使用者許可權時建議遵從最小授權原則。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。在左側導覽列,選擇 。
在設定頁簽的其它配置子頁簽下的存取控制地區,查看存取控制相關的Action Trail資料投遞、服務關聯角色說明、權限原則管理、使用者管理、角色管理功能入口。
您在使用雲安全態勢管理身份許可權管理(CIEM)類型的檢查項前,需要開啟Action Trail數據投遞開關。開啟該開關後,Security Center可以訪問Action Trail服務的日誌資料來檢查身份許可權管理相關配置項是否存在風險。
查看Security Center的服務關聯角色AliyunServiceRoleForSas說明。更多資訊,請參見Security Center服務關聯角色。