安全告警事件检测支持配置检测策略,包括防暴力破解检测规则和异常登录配置,帮助您有效识别暴力破解攻击并放行正常的登录行为,在不影响您正常业务的前提下提升安全告警事件的准确性。
前提条件
您的资产已经接入云安全中心。
配置防暴力破解
暴力破解攻击是一种常见的网络攻击行为,攻击者发动暴力破解攻击来获取用户名和密码,进而控制主机,严重危害资产安全。防暴力破解设置是指为目标主机设置一段时间内的登录失败次数阈值,超出设置阈值后系统自动联防安全组或云防火墙拦截攻击源 IP。您也可以设置当检测出主机存在弱口令时自动启动防爆破保护。
登录云安全中心控制台。
在页面左侧,选择威胁检测>入侵告警。
单击页面右上方安全告警设置。
配置防暴力破解参数。
- 开启火山引擎防暴力破解最佳实践。
- 单击编辑,选择需要开启防暴力破解的主机。
- 设置防御规则。
说明
若勾选当检测出“主机存在弱口令”时自动启动防暴破保护,则未设置为生效主机的主机也会开启防御。
- 选择拦截方式。
说明
- 建议使用云防火墙作为拦截方式,单个网卡下最多可关联16个安全组拦截策略。
- 云防护墙服务需要单独购买。
防暴力破解参数配置后,若防御规则被触发,则会自动生成 IP 拦截策略,您也可以在 威胁检测>告警处理>IP拦截策略 查看和编辑拦截策略。
配置异常登录策略
如果存在多个登录地址、登录时段、登录账号或登录 IP,您可以设置相关登录策略,避免因被识别为异常登录产生告警误报。
登录云安全中心控制台。
在页面左侧,选择威胁检测>入侵告警。
单击页面右上方安全告警设置。
配置异常登录策略,以下以配置常用登录 IP 为例,其他登录配置操作方式相同,仅需要配置的参数存在差异。
- 选择常用登录 IP,打开策略启用开关。
- 单击添加策略。
- 输入 IP 地址或 CIDR 地址段。
- 选择需要生效的主机,然后单击确定。
以下为异常登录策略涉及的参数配置说明。
参数
说明
常用登录地
选择一个城市,定位于该城市的正常登录行为不会告警。
常用登录时间
设置一个时间范围,在此时间范围内的正常登录行为不会告警。
常用登录账号
输入一个授权账号名,使用此账号的正常登录行为不会告警。
常用登录IP
设置一个登录IP地址,通过该IP地址正常登录的行为不会告警。
生效范围
受影响的主机范围。
- 全部主机:包括已有和后续新增的所有主机。
- 部分主机:按需要筛选目标主机。
说明
- 支持配置多个策略。
- 常用登录时间、常用登录账号和常用登录 IP 策略需要启用策略开关才能生效。
- 选择常用登录 IP,打开策略启用开关。
配置 IP 拦截策略
防御规则配置完成后,若该规则触发了 IP 拦截,会自动生成 IP 拦截策略。您可在IP拦截策略列表查看拦截的 IP 信息、生效主机、拦截方式和有效期,并根据需要修改拦截策略的启用状态。
登录云安全中心控制台。
在页面左侧,选择威胁检测>入侵告警。
单击安全告警处理区域的IP拦截策略。
查看并配置当前列表中的 IP 拦截策略。
参数
说明
拦截IP
需要拦截的IP地址。
端口
需要拦截的端口号。
生效主机
应用该策略的主机。
拦截方式
可使用安全组或云防火墙作为拦截方式,单个网卡最多可关联 16 个安全组拦截策略,建议使用云防火墙作为拦截方式。
说明
如果云防火墙过期失效将临时启用安全组。
有效期至
拦截策略的有效时间。策略过期后,状态将变为已过期。
策略状态
策略当前的状态,包括已启用、已禁用和已过期。默认为启用,可手动禁用。