全部產品
Search
文件中心

Security Center:其他配置

更新時間:Feb 15, 2025

Security Center支援在其他配置中設定全域日誌過濾和存取控制功能。本文介紹其他配置支援的功能及如何配置相應功能。

全域日誌過濾

Security Center提供全域日誌過濾能力,在保障安全防護效果的同時,有效使用日誌儲存空間,提升您的營運效率。

原理說明

全域日誌過濾功能基於以下兩個維度對Security Center用戶端的日誌進行過濾。

  • 基於特定欄位,在時間維度彙總的過濾

    將資料擷取的特定欄位,例如cmdline命令列、username使用者名稱、pcmdline父進程命令列等欄位,按一定順序組合成key,並在單位時間內彙總過濾相同key的事件,統計相同特徵的事件出現次數,次數未超過設定的閾值,正常上報;次數超過閾值則過濾。

  • 基於進程鏈的過濾

    將採集事件的進程鏈做歸一化處理,提取特徵作為過濾的key。在一個過濾周期內,統計相同特徵的事件出現次數,次數未超過設定的閾值,正常上報;次數超過閾值則過濾。

前提條件

已開通日誌分析服務。具體操作,請參見開通日誌分析

說明

如果您未開通日誌分析服務,控制台將不顯示全域日誌過濾功能。

開啟全域日誌過濾

  1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)在左側導覽列,選擇系統配置 > 功能設定

  2. 設定頁簽的其它配置子頁簽,開啟全域日誌過濾地區的日誌過濾開關。

存取控制

使用阿里雲存取控制RAM(Resource Access Management)服務您可以建立、管理RAM使用者(例如員工、系統或應用程式),並控制這些RAM使用者對資源的操作許可權。當您的企業存在多使用者協同操作資源的情境時,RAM可以讓您避免與其他使用者共用雲帳號密鑰,按需為使用者指派最小許可權,從而降低企業的資訊安全風險。

說明

如果您的企業存在多使用者協同操作雲上資源的情境,為了避免給企業使用者授予過多不必要的許可權,給企業的資產安全帶來較大的風險,建議您定期前往RAM控制台確認企業使用者的許可權授予情況。設定企業使用者許可權時建議遵從最小授權原則。

  1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)在左側導覽列,選擇系統配置 > 功能設定

  2. 設定頁簽的其它配置子頁簽下的存取控制地區,查看存取控制相關的Action Trail資料投遞、服務關聯角色說明、權限原則管理、使用者管理、角色管理功能入口。

    • 您在使用雲安全態勢管理身份許可權管理(CIEM)類型的檢查項前,需要開啟Action Trail數據投遞開關。開啟該開關後,Security Center可以訪問Action Trail服務的日誌資料來檢查身份許可權管理相關配置項是否存在風險。

    • 查看Security Center的服務關聯角色AliyunServiceRoleForSas說明。更多資訊,請參見Security Center服務關聯角色

    • 單擊權限原則管理後的管理,跳轉至RAM控制台,管理當前阿里雲帳號下所有權限原則。具體操作,請參見權限原則管理

    • 單擊使用者管理後的管理,跳轉至RAM控制台,管理當前阿里雲帳號下已建立的使用者。具體操作,請參見使用者管理

    • 單擊角色管理後的管理,跳轉至RAM控制台,管理當前帳號下已建立的RAM角色。具體操作,請參見角色管理