配置告警通知后,云安全中心检测到您的资产存在安全风险时,可以给通知接收人发送通知,以便您及时处理风险事件,保障资产安全。云安全中心提供多种通知项目(安全周报、基线检查、安全告警、存储超量等)和通知方式(邮件、站内信、钉钉机器人),您可以按需订阅告警通知项目、通知时间和通知方式,以便及时获得资产安全信息。
通知项目介绍
邮件/站内信通知
在非选中的通知时间外触发的通知事件时,部分通知项目会延迟发送通知,请以实际收到为准。
下表中每天发送通知的数量仅针对单个邮箱(邮件)和单个阿里云账号(站内信)。
例如,AK泄露检测每天最多发送5条告警,如果您同时配置了2个通知接收人,则每个通知接收人每天最多可以收到5条通知。
通知项目 | 通知频率 | 通知时间 | 通知方式 | 说明 |
安全周报 | 每7天发送一次 | 08:00~20:00 | 邮件 | 发送主题为阿里云服务器待处理安全周报的通知。通知内容为资产中未处理的漏洞数量、漏洞修复建议、基线风险数量和告警信息等。 |
防勒索任务执行结果通知 | 实时发送 |
| 邮件、站内信 | 在配置的通知时段,当防勒索的数据备份任务或备份数据恢复任务执行完成后,再匹配您关注的执行结果(执行成功或执行失败),发送通知。 |
基线检查 | 每7天发送一次 | 08:00~20:00 | 邮件、站内信 | 发送主题为云安全中心待处理基线配置风险周报的通知。通知内容为资产中未处理的基线风险数量。 |
防勒索空间超量 | 每7天发送一次 | 8:00~20:00 | 邮件、站内信 | 防勒索空间超量通知机制如下:
|
威胁分析日志超量提醒通知 | 实时发送 |
| 邮件、站内信 | 当已使用威胁分析日志容量超过总容量的80%时,发送威胁分析日志存储空间使用率通知。 |
安全告警 | 实时发送 |
| 邮件、站内信 | 检测到安全告警时发送通知。每天最多发送5条通知。同一服务器,每天最多发送1条通知。 |
精准防御 | 实时发送 |
| 邮件、站内信 | 检测到精准防御告警时发送通知。每天最多发送5条站内信、20封邮件。 |
网页防篡改 | 实时发送 |
| 邮件、站内信 | 检测到网页防篡改告警时发送通知。每天最多发送5条通知。 |
容器防火墙异常告警通知 | 实时发送 |
| 邮件 | 检测到未授权的网络行为时发送通知。每天最多发送100条通知。 |
容器防火墙主动防御通知 | 实时发送 |
| 邮件 | 检测到未授权的网络行为时主动拦截并发送通知。每天最多发送100条通知。超出100条时,将延期发送。 |
镜像安全扫描恶意告警通知 | 实时发送 |
| 邮件、站内信 | 镜像安全扫描完成后,针对产生的恶意样本告警发送通知。 每天最多发送24封邮件、24封站内信。 |
镜像安全扫描基线风险通知 | 实时发送 |
| 邮件、站内信 | 镜像安全扫描完成后,针对产生的风险基线告警发送通知。每天最多发送1条通知。 |
镜像安全扫描漏洞风险通知 | 实时发送 |
| 邮件、站内信 | 镜像安全扫描完成后,针对产生的漏洞风险告警发送通知。每天最多发送24封邮件、1封站内信。 |
镜像安全扫描敏感文件告警通知 | 实时发送 |
| 邮件、站内信 | 镜像安全扫描完成后,针对产生的敏感文件告警发送通知。每天最多发送24条通知。 |
恶意IP拦截告警通知 | 实时发送 |
| 邮件、站内信 | 针对恶意IP的爆破攻击进行拦截,拦截后将为您发送通知。每天最多发送10条通知。 |
病毒扫描通知 | 按照病毒查杀扫描周期发送 |
| 邮件、站内信 | 按照您配置的病毒查杀的扫描周期,在病毒扫描完成后通知扫描结果。 |
日志超量 | 每2天一次 |
| 邮件、站内信 | 当日志存储量超过了购买的日志分析容量占比阈值时,发送日志超量通知。 在日志超量区域,单击 |
云蜜罐告警 | 实时发送 |
| 邮件、站内信 | 检测到云蜜罐告警时,发送通知。每天最多发送5条通知。 |
应用防护告警 | 实时发送 |
| 邮件、站内信 | 检测到应用防护告警时,发送通知。每天最多发送10条通知 |
图标,调整发送通知的容量使用阈值。钉钉机器人通知
支持通知范围 | 通知频率 | 通知方式 | 说明 |
|
| 钉钉机器人 | 根据设置通知频率发送信息。选择无限制后,一个Webhook,一分钟最多可发送20条通知。 |
配置通知接收人
您至少需要配置一位消息接收人。如果您未更改过消息设置,消息接收人默认为您的账号联系人(即您注册账号时填写的联系人)。
登录阿里云消息中心。
在左侧导航栏,选择。
定位到云盾安全信息通知,在消息接收人列单击修改。
在修改消息接收人对话框,新增或修改通知接收人,并选中需要接收云安全中心告警通知的联系人,然后单击保存。
您可以根据需要执行以下操作:
如果您需要新增消息接收人,您可以单击新增消息接收人并填写接收人的姓名、邮箱等信息,信息填写完成后单击确定。
如果要修改已有信息接收人的信息,您需要单击基本接收管理页面右上角的消息接收人管理修改相应联系人的信息。
保存成功后,更改后的消息接收人配置会立即生效。
说明未验证过的联系人需要经过验证后才能正常接收消息。系统将自动发送验证消息到所填的邮箱,您可以根据邮箱中的提示及时完成验证。
配置邮件、站内信通知
云安全中心支持发送通知到邮件和站内信,您可以为不同的通知项目配置合适的通知方式。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在邮件/站内信页签,定位到您需要配置的通知项目,并配置通知项目的通知时间、我关注的等级和通知方式。
说明该页面修改的设置会立即生效。
同时选择多种通知方式时,云安全中心会在同一时间通过已选择的多种通知方式发送通知。
配置钉钉机器人通知
配置钉钉机器人通知后,可通过钉钉群实时接收云安全中心识别的威胁预警信息。
仅云安全中心企业版和旗舰版支持钉钉机器人通知方式。
前提条件
您已经在需要接收通知的钉钉群创建自定义机器人并获取机器人的Webhook地址。创建自定义机器人时,您需要根据通知语言在安全设置区域配置对应的自定义关键词:
中文:云安全中心
英文:Security
操作步骤
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在通知设置的钉钉机器人页签,单击添加新的机器人。
在添加钉钉机器人面板,完成配置,并单击添加。
配置项
说明
机器人名称
为钉钉机器人自定义名称,建议输入便于识别的名称。
Webhook 地址
机器人的Webhook链接。您可以在要应用该钉钉机器人的钉钉群中,找到机器人的Webhook地址。
重要请保管好Webhook地址,不要公布在外部网站上。Webhook地址泄露可能会产生安全风险。
资产分组
选择在云安全中心资产中心中创建的资产分组。选中后,钉钉机器人将会发送该资产分组中资产相关的告警通知。
通知范围
选择需要钉钉机器人通知的告警类型(漏洞、基线检查、安全告警、AK泄露检测、云蜜罐、应用防护、防勒索、核心文件监控、恶意文件检测)和风险等级。
通知频率
钉钉机器人发送通知的间隔周期,可选1分钟、5分钟、10分钟、30分钟或无限制(每检测到一条告警实时发送通知)。
选择无限制后,一个Webhook,一分钟最多可发送20条通知。
通知语言
钉钉机器人发送通知的语言类型,可选中文或英文。
新创建的钉钉机器人通知默认为启用状态。配置完成后,云安全中心将按照您配置的通知策略为您发送相关通知。
(可选)在钉钉机器人列表,找到新创建的钉钉机器人,在操作列单击测试,验证钉钉机器人通知是否已经和钉钉群连通。
说明钉钉机器人通知支持编辑和删除。删除通知后,您将无法收到相关告警的钉钉机器人通知,但不影响您已设置的邮件或站内信通知。
常见问题
设置告警通知时没有勾选任何关注等级,能收到告警通知吗?
相关文档
关于设置安全消息通知人的更多信息,请参见设置安全消息接收人的最佳实践。