云安全中心通過安裝在您服務器上的Agent和云端防護中心的聯動,為您提供服務器的安全告警、漏洞管理、病毒查殺、基線檢查、攻擊分析等功能。
關于云安全中心檢測范圍說明,請仔細閱讀以下內容:
以下收集的服務器相關信息的內容如發生變動,阿里云將提前在阿里云官網的適當版面公告向您提示修改內容;如您不同意阿里云所做的修改,您有權停止使用阿里云云安全中心服務。這種情況下,您可以卸載您服務器上的Agent。具體操作,請參見卸載Agent。如您繼續使用阿里云云安全中心服務,則視為您接受阿里云所做的相關修改。
可疑文件信息
云安全中心為您提供惡意文件檢測功能。系統在檢測到可疑文件后會上傳該文件的相關信息(包括但不限于文件的路徑、MD5值、創建時間等)到云端防護中心,以便進行最終核查。確認為惡意文件后,云安全中心會向您發送安全告警通知。
可疑進程信息
云安全中心為您提供惡意進程檢測功能。系統在檢測到可疑進程后會上傳該進程的相關信息(包括但不限于進程名、進程啟動參數、進程對應文件的路徑、進程啟動時間等)到云端防護中心,以便進行最終核查。確認為惡意進程后,云安全中心會向您發送安全告警通知。
賬戶信息
云安全中心為您提供登錄審計、疑似賬號提醒、暴力破解攔截等功能。系統會定期分析和上傳服務器的賬號信息(包括但不限于用戶名、用戶權限等)和登錄日志信息(包括但不限于登錄名、登錄IP等)。如果發生異常登錄事件,云安全中心會向您發送安全告警通知。
異常連接信息
云安全中心為您提供異常網絡連接檢測功能。系統在檢測到可疑網絡連接后,會上傳該網絡連接的相關信息(包括但不限于訪問源IP、源端口、訪問目的IP、目的端口等)到云端防護中心,以便進行最終核查。確認為異常連接后,云安全中心會向您發送安全告警通知。
服務器資產信息
云安全中心為您提供資產管理功能。系統將定期收集服務器的相關資產信息(包括但不限于安裝的軟件信息、監聽的端口信息、運行的網站信息等),并在云安全中心控制臺的資產中心頁面為您統一展示所有資產。
容器鏡像安全
云安全中心為您提供鏡像安全掃描功能。系統將定期掃描容器中是否存在漏洞和惡意文件,并在云安全中心控制臺的鏡像安全掃描頁面為您展示容器中檢測出的所有漏洞和惡意文件信息。
容器運行時安全
云安全中心為您提供容器運行時威脅檢測功能,實時檢測運行中的容器是否存在病毒文件、惡意程序、內部入侵行為、容器逃逸、高風險操作等威脅。如果在容器運行時檢測出了安全風險,云安全中心會向您發送安全告警通知。
支持檢測的漏洞類型
下表介紹云安全中心的不同版本對各類型漏洞的掃描、修復的支持情況。
下表中的標識說明如下:
:表示支持。
:表示不支持。
漏洞類型 | 功能模塊 | 免費版 | 僅采購增值服務 | 防病毒版 | 高級版 | 企業版 | 旗艦版 |
Linux軟件漏洞 | 手動掃描漏洞 | | | | | | |
自動掃描漏洞(周期性) |
|
|
|
|
|
| |
漏洞修復 | | 購買漏洞修復次數或開通按量付費 | 購買漏洞修復次數或開通按量付費 | | | | |
Windows系統漏洞 | 手動掃描漏洞 | | | | | | |
自動掃描漏洞(周期性) |
|
|
|
|
|
| |
漏洞修復 | | 需購買漏洞修復次數 | 需購買漏洞修復次數 | | | | |
Web-CMS漏洞 | 手動掃描漏洞 | | | | | | |
自動掃描漏洞(周期性) |
|
|
|
|
|
| |
漏洞修復 | | | | | | | |
應用漏洞 | 手動掃描漏洞 | | | | | | |
自動掃描漏洞(周期性) | | | | |
|
| |
漏洞修復 | | | | | | | |
應急漏洞 | 手動掃描漏洞 | | | | | | |
自動掃描漏洞(周期性) | | | |
|
|
| |
漏洞修復 | | | | | | |
支持的安全告警類型
告警名稱 | 告警說明 |
網頁防篡改 | 實時監控網站目錄并通過備份恢復被篡改的文件或目錄,保障重要系統的網站信息不被惡意篡改,防止出現掛馬、黑鏈、非法植入恐怖威脅、色情等內容。可檢測以下子項:
說明 網頁防篡改是云安全中心的增值服務,需要您單獨購買開通后才會開啟網頁防篡改的防御。網頁防篡改為防病毒版、高級版、企業版和旗艦版功能,基礎版不支持該功能。更多信息,請參見網頁防篡改。 |
進程異常行為 | 檢測資產中是否存在超出正常執行流程的行為,包括但不限于以下子項:
|
網站后門 | 使用自主查殺引擎檢測常見后門文件,支持定期查殺和實時防護,并提供一鍵隔離功能。
說明 基礎版僅支持部分類型WebShell檢測,云安全中心其他版本支持所有類型的WebShell檢測。如果您需要執行所有類型的WebShell檢測,建議您升級到防病毒版、高級版、企業版或旗艦版。升級的具體操作,請參見升級與降配。 |
異常登錄 | 檢測服務器上的異常登錄行為。通過設置合法登錄IP、時間及賬號,對于例外的登錄行為進行告警。支持手動添加和自動更新常用登錄地,對指定資產的異地登錄行為進行告警。 可檢測以下子項:
更多信息,請參見云安全中心檢測和告警異常登錄功能的原理是什么?。 |
異常事件 | 檢測程序運行過程中發生的異常行為。 |
敏感文件篡改 | 檢測是否存在對服務器中的敏感文件進行惡意修改,包含Linux共享庫文件預加載配置文件的可疑篡改等行為。 |
惡意進程(病毒云查殺) | 采用云+端的查殺機制,對服務器進行實時檢測,并對檢測到的病毒文件提供實時告警。您可通過云安全中心控制臺對病毒程序進行處理。 可檢測以下子項:
|
異常網絡連接 | 檢測網絡顯示斷開或不正常的網絡連接狀態。 可檢測以下子項:
|
其他 | 檢測客戶端異常離線問題。 |
異常賬號 | 檢測非合法的登錄賬號。 |
應用入侵事件 | 檢測通過系統的應用組件入侵服務器的行為。 |
云產品威脅檢測 | 檢測您購買的其他阿里云產品中是否存在威脅,例如是否存在可疑的刪除ECS安全組規則行為。 |
精準防御 | 惡意主機行為防御功能提供了精準防御能力,可對主流勒索病毒、DDoS木馬、挖礦和木馬程序、惡意程序、后門程序和蠕蟲病毒等類型進行防御。關于如何開啟該功能,請參見主動防御。 |
應用白名單 | 通過在白名單策略中設置需要重點防御的服務器應用,檢測服務器中是否存在可疑或惡意進程,并對不在白名單中的進程進行告警提示。 |
持久化后門 | 檢測服務器上存在的被攻擊者植入的持久化后門或入侵痕跡,對內存馬注入、后門程序、異常注冊表項修改等威脅行為進行告警。 |
Web應用威脅檢測 | 檢測通過Web應用入侵服務器的行為。 |
惡意腳本 | 檢測資產的系統功能是否受到惡意腳本的攻擊或篡改,對可能的惡意腳本攻擊行為進行告警提示。 惡意腳本分為有文件腳本和無文件腳本。攻擊者在拿到服務器權限后,使用腳本作為載體來達到進一步攻擊利用的目的。利用方式包括植入挖礦程序、添加系統后門、添加系統賬戶等操作。惡意腳本的語言主要包括Bash、Python、Perl、PowerShell、BAT、VBS。 |
威脅情報 | 利用阿里云自研的威脅情報庫對訪問流量、日志進行關聯分析,識別出可能已經發生的威脅事件,主要包括惡意域名訪問、惡意下載源訪問、惡意IP訪問等不易直接發現的入侵行為。 |
容器集群異常 | 檢測正在運行的容器集群安全狀態,幫助您及時發現容器集群中的安全隱患和黑客入侵行為。 您需要開啟容器K8s威脅檢測功能,具體操作,請參見容器防護設置。 |