概要
本文主要介绍云安全中心检测和告警异常注册的功能原理。
详细信息
以下是云安全中心检测、警告异常注册的功能原理和警告策略。
说明:在线服务在安装云安全代理后仍然支持异常登录检测和警告。
功能原理
云安全中心的异常登录功能检测服务器的登录行为,并警告紧急登录目的地的登录行为。 高级版和企业版允许客户设置合法登录IP、合法登录时间和合法登录帐户,并对上述合法登录IP、合法登录事件和合法登录帐户以外的登录行为发出警告。 云屏蔽服务器安全(云安全中心)管理控制台上的异常登录界面提供了服务器登录警告、未授权登录IP、未授权登录时间、未授权登录帐户登录行为警告等
云安全中心代理定期收集服务器上的登录日志并将其上传到云中,然后在云中进行分析和匹配。 如果发现紧急登录目标或非法登录IP、非法登录时间、非法登录帐户登录成功事件,将触发事件警告。 关于不同IP登录行为的具体说明如下。
第一次将云安全中心应用于服务器时,服务器没有设置常规登录目标,因此在此期间的登录行为不会发出警告。
当一个公用网络的IP首次成功登录服务器时,该IP地址的位置将记录为公用登录地,从该时间起24小时内顺延的所有公用网络的登录地将记录为公用登录地。 超过24小时后,所有不在上述常用注册地的注册行为将被视为异地注册并受到警告。
如果某个IP被判定为异地登录行为,则只有最初的登录行为发出短信警告。 如果此IP成功登录6次以上,则云安全中心默认将此IP的位置记录为公共登录位置。
说明:
异地登录仅面向公共IP。
警告策略
以下是异常IP登录警告策略:
云安全中心针对某个异地IP的首次登录行为发出短信警告。 如果此IP持续登录,则只会在控制台上发出警告,并且在此IP地址登录6次以上后,会自动将其记录为公共登录目标。
如果云安全中心版本为高级版或企业版,请在机器上设置合法登录IP、合法登录时间和合法登录帐户,然后单击上述合法登录IP、合法登录事件和合法登录帐户
适用于
云安全中心