云安全中心支持在其他配置中設置全局日志過濾、安全管控和訪問控制功能。本文介紹其他配置支持的功能及如何配置相應功能。
全局日志過濾
云安全中心提供全局日志過濾能力,在保障安全效果防護的同時,有效使用日志存儲空間,提升您的運營效率。
原理說明
全局日志過濾功能基于以下兩個維度對云安全中心客戶端的日志進行過濾。
基于特定字段,在時間維度聚合的過濾
將數據采集的特定字段,例如cmdline命令行、username用戶名、pcmdline父進程命令行等字段,按一定順序組合成key,并在單位時間內聚合過濾相同key的事件,統計相同特征的事件出現次數,次數未超過設置的閾值,正常上報;次數超過閾值則過濾。
基于進程鏈的過濾
將采集事件的進程鏈做歸一化處理,提取特征作為過濾的key。在一個過濾周期內,統計相同特征的事件出現次數,次數未超過設置的閾值,正常上報;次數超過閾值則過濾。
前提條件
已開通日志分析服務。具體操作,請參見開通日志分析。
如果您未開通日志分析服務,控制臺將不顯示全局日志過濾功能。
開啟全局日志過濾
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。在左側導航欄,選擇。
在設置頁簽的其它配置子頁簽,打開全局日志過濾區域的日志過濾開關。
安全管控
安全管控功能支持配置IP地址白名單,云安全中心可放行加入到白名單中的IP地址。如果云安全中心將正常訪問的IP地址識別為風險IP并對其進行攔截,導致部分業務受影響,您可通過安全管控功能設置IP白名單,放行因誤判被攔截的IP地址。云安全中心不會對添加至IP白名單的IP地址進行告警或攔截。
將某個IP地址加入IP白名單后,該IP地址在訪問您的(部分或所有)服務器時將不受任何限制。添加IP白名單時請謹慎操作。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。在左側導航欄,選擇。
在設置頁簽的其它配置子頁簽,單擊安全管控區域的配置,跳轉至安全管控控制臺。
在左側導航欄,選擇。
在IP白名單頁面,單擊添加。
在添加對話框,輸入源IP(非當前阿里云賬號下的IP地址),選中需要生效的云服務器ECS,并單擊確定。
操作完成后,所輸入的訪問源IP會被加入所選擇的云服務器ECS的訪問白名單,所有來自該源IP對您阿里云賬號下目標ECS的訪問都不受任何安全管控限制。
可選:創建IP白名單后,您可以查看IP白名單列表或執行失效操作。
查看白名單列表
在IP白名單頁面,您可以查看IP白名單記錄。
使IP白名單失效
如需再次管控指定IP白名單的訪問,您可以單擊該IP白名單操作列的失效,并在提示對話框,單擊確定。
說明執行失效操作后,來自該源IP的訪問將重新受安全管控限制。
訪問控制
使用阿里云訪問控制RAM(Resource Access Management)服務您可以創建、管理RAM用戶(例如員工、系統或應用程序),并控制這些RAM用戶對資源的操作權限。當您的企業存在多用戶協同操作資源的場景時,RAM可以讓您避免與其他用戶共享云賬號密鑰,按需為用戶分配最小權限,從而降低企業的信息安全風險。
如果您的企業存在多用戶協同操作云上資源的場景,為了避免給企業用戶授予過多不必要的權限,給企業的資產安全帶來較大的風險,建議您定期前往RAM控制臺確認企業用戶的權限授予情況。設置企業用戶權限時建議遵從最小授權原則。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國或全球(不含中國)。在左側導航欄,選擇。
在設置頁簽的其它配置子頁簽下的訪問控制區域,查看訪問控制相關的操作審計數據投遞、服務關聯角色說明、權限策略管理、用戶管理、角色管理功能入口。
您在使用云安全態勢管理身份權限管理(CIEM)類型的檢查項前,需要打開操作審計數據投遞開關。開啟該開關后,云安全中心可以訪問操作審計服務的日志數據來檢查身份權限管理相關配置項是否存在風險。
查看云安全中心的服務關聯角色AliyunServiceRoleForSas說明。更多信息,請參見云安全中心服務關聯角色。