開啟告警通知功能后，您能接收到主機安全服務發送的告警通知，及時了解主機/容器/網頁內的安全風險。否則，無論是否有風險，您都只能登錄管理控制臺自行查看，無法收到報警信息。

• 告警通知設置僅在當前區域生效，若需要接收其他區域的告警通知，請切換到對應區域后進行設置。
• 告警通知信息可能會被誤攔截，若您未收到相關告警信息，請在信息攔截中查看。

前提條件

在設置告警通知前：

• “告警方式”如果選擇“消息中心”，建議您在右上角“消息中心”單擊“消息接收管理”進入消息接收配置頁面，在“安全消息>安全事件通知”上方添加或在“操作”列“修改”消息接收人。
• 告警方式”如果選擇“消息主題”，建議您先以管理員身份在“消息通知服務”中創建“消息主題”。

開啟告警通知

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全>企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。切換至新版后，在總覽頁左上角單擊“返回舊版”，可切換至主機安全（舊版）。

4、在左側導航樹選擇“安裝與配置”，選擇“告警配置”頁簽，進入“告警配置”頁面，配置參數說明請參見表。

告警配置頁面

告警配置參數

通知項
說明
選擇建議
每日告警通知
每日凌晨，主機安全服務將主動檢測主機系統中的帳號、Web目錄、漏洞、惡意程序及關鍵配置等，匯總各項檢測結果后，將檢測結果發送給您在“消息中心”中添加的消息接收人，或者在“消息通知服務主題”中添加的訂閱終端。
單擊“查看每日告警默認通知事件”可查看通知項。
接收并定期查看每日告警通知中所有的內容，能有效降低主機中未及時處理的風險成為主機安全隱患的概率。
由于每日告警中通知項的內容較多，如果您使用的“消息通知服務”，接收告警通知，建議您選擇“訂閱終端”配置為“郵箱”的“消息通知服務主題”。
實時告警通知
當攻擊者入侵主機時，主機安全服務將按照選定的“消息中心”或者“消息通知服務主題”為您告警。
單擊“查看實時告警默認通知事件”可查看通知項。
建議您接收實時告警通知中所有的內容并及時查看。企業安全服務實時監測主機中的安全情況，能監測到攻擊者入侵主機的行為，接收實時告警通知能快速處理攻擊者入侵主機的行為。
由于實時告警中通知項的內容緊急度較高，如果您使用的“消息通知服務”，接收告警通知，建議您選擇“訂閱終端”配置為“短信”的“消息通知服務主題”。
告警等級
自定義勾選通知的告警等級。
選擇全部。
屏蔽事件
選擇無需發送告警通知的事件。
展開選框可自定義選擇不發送告警的事件類型。
根據告警通知項說明的內容說明判斷需要屏蔽的事件。

5、選擇事件告警的通知方式。

• 消息中心
  告警通知默認發送給帳號聯系人的消息中心，可登錄系統在右上角查看。
• 消息主題
  單擊下拉列表選擇已創建的主題，或者單擊“查看消息通知服務主題”創建新的主題。
  您可以根據運維計劃和告警通知類型，創建多個“消息通知主題”，以接收不同類型的告警通知。更多關于主題和訂閱的信息，請參見《消息通知服務用戶指南》。

6、單擊“應用”，完成配置主機安全告警通知的操作。界面彈出“告警通知設置成功”提示信息，則說明告警通知設置成功。

告警通知項說明

通知項
通知內容
通知內容說明
每日告警通知：每日凌晨檢測主機中的風險，匯總并統計檢測結果后，將檢測結果于每日上午10：00發送給您添加的手機號或者郵箱。
資產管理
危險端口
檢測開放了的危險端口或者不必要的端口，通知用戶及時排查這些端口是否用于正常業務。
漏洞管理
需緊急修復漏洞
檢測系統中的緊急漏洞，通知用戶盡快修復，防止攻擊者利用該漏洞會對主機造成較大的破壞。
基線檢查
配置檢查
檢測系統中的關鍵應用，如果采用不安全配置，有可能被黑客利用作為入侵主機系統的手段。
經典弱口令
檢測MySQL、FTP及系統帳號的弱口令。
入侵檢測
惡意程序
對運行中的程序進行檢測，識別出其中的后門、木馬、挖礦軟件、蠕蟲和病毒等惡意程序。
Webshell
檢測云服務器上Web目錄中的文件，判斷是否為Webshell木馬文件，支持檢測常見的PHP、JSP等后門文件類型。
網站后門檢測信息包括“木馬文件路徑”、“狀態”、“首次發現時間”、“最后發現時間”。您可以根據網站后門信息忽略可信文件。
您可以使用手動檢測功能檢測主機中的網站后門。
反彈Shell
實時監控用戶的進程行為，及時發現進程的非法Shell連接操作產生的反彈Shell行為。
支持對TCP、UDP、ICMP等協議的檢測。
文件提權
檢測當前系統對文件的提權。
進程提權
檢測以下進程提權操作：
利用SUID程序漏洞進行root提權。
利用內核漏洞進行root提權。
關鍵文件變更
對于系統關鍵文件進行監控，文件被修改時告警，提醒用戶關鍵文件存在被篡改的可能。
文件/目錄變更
對于系統文件/目錄進行監控，文件/目錄被修改時告警，提醒用戶文件/目錄存在被篡改的可能。
進程異常行為
檢測各個主機的進程信息，包括進程ID、命令行、進程路徑、行為等。
對于進程的非法行為、黑客入侵過程進行告警。
進程異常行為可以監控以下異常行為：?
監控進程CPU使用異常。
檢測進程對惡意IP的訪問。
檢測進程并發連接數異常等。
高危命令執行
實時檢測當前系統中執行的高危命令，當發生高危命令執行時，及時觸發告警。
異常Shell
檢測系統中異常Shell的獲取行為，包括對Shell文件的修改、刪除、移動、復制、硬鏈接、訪問權限變化。
異常登錄
檢測主機異地登錄行為并進行告警，用戶可根據實際情況采取相應措施（例如：忽略、修改密碼等）。
若在非常用登錄地登錄，則觸發安全事件告警。
非法系統賬號
檢測主機系統中的賬號，列出當前系統中的可疑賬號信息，幫助用戶及時發現非法賬號。
漏洞逃逸攻擊
監控到容器內進程行為符合已知漏洞的行為特征時（例如：“臟牛”、“bruteforce”、“runc”、“shocker”等），觸發逃逸漏洞攻擊告警。
文件逃逸攻擊
監控發現容器進程訪問了宿主機系統的關鍵文件目錄（例如：“/etc/shadow”、“/etc/crontab”），則認為容器內發生了逃逸文件訪問，觸發告警。即使該目錄符合容器配置的目錄映射規則，仍然會觸發告警。
容器進程異常
容器業務通常比較單一。如果用戶能夠確定容器內只會運行某些特定進程，可以在控制臺配置安全策略設置進程白名單并將策略關聯容器鏡像。
對于已關聯的容器鏡像啟動的容器，只允許白名單進程啟動，如果容器內存在非白名單進程，觸發容器異常程序告警。
容器異常啟動
對容器啟動時使用不合規的參數進行檢測告警。
容器啟動時可以帶有很多參數，對容器進行權限設置。如果沒有正確設置，可能會導致權限過大，給攻擊者留下可以利用的方式。
高危系統調用
Linux系統調用是用戶進程進入內核執行任務的請求通道。監控容器進程，如果發現進程使用了危險系統調用（例如：“open_by_handle_at”、“ptrace”、“setns”、“reboot”等），觸發高危系統調用告警。
敏感文件訪問
檢測重要文件的提權或持久化等訪問行為，對訪問行為進行告警。
需緊急修復DDoS攻擊第三方漏洞
檢測需要緊急修復來自DDoS的第三方漏洞攻擊。
惡意掃描
檢測對主機資產的異常掃描行為。
惡意挖礦
對在未經用戶同意或知情的情況下使用設備（計算機、智能手機、平板電腦甚至服務器）挖掘加密貨幣進行檢測，一旦發現立即報警上報。
暴力破解
檢測“嘗試暴力破解”和“暴力破解成功”等暴力破解。
檢測賬戶遭受的口令破解攻擊，封鎖攻擊源，防止云主機因賬戶破解被入侵。
若賬戶暴力破解成功，登錄到云主機，則觸發安全事件告警。
實時告警通知：事件發生時，及時發送告警通知。
入侵檢測
惡意程序
對運行中的程序進行檢測，識別出其中的后門、木馬、挖礦軟件、蠕蟲和病毒等惡意程序。
Webshell
檢測云服務器上Web目錄中的文件，判斷是否為Webshell木馬文件，支持檢測常見的PHP、JSP等后門文件類型。
網站后門檢測信息包括“木馬文件路徑”、“狀態”、“首次發現時間”、“最后發現時間”。
您可以根據網站后門信息忽略可信文件。您可以使用手動檢測功能檢測主機中的網站后門。
文件提權
檢測當前系統對文件的提權。
進程提權
檢測以下進程提權操作：
利用SUID程序漏洞進行root提權。
利用內核漏洞進行root提權。
關鍵文件變更
對于系統關鍵文件進行監控，文件被修改時告警，提醒用戶關鍵文件存在被篡改的可能。
文件/目錄變更
對于系統文件/目錄進行監控，文件/目錄被修改時告警，提醒用戶文件/目錄存在被篡改的可能。
進程異常行為
檢測各個主機的進程信息，包括進程ID、命令行、進程路徑、行為等。
對于進程的非法行為、黑客入侵過程進行告警。
進程異常行為可以監控以下異常行為：?
監控進程CPU使用異常。
檢測進程對惡意IP的訪問。
檢測進程并發連接數異常等。
高危命令執行
實時檢測當前系統中執行的高危命令，當發生高危命令執行時，及時觸發告警。
異常Shell
檢測系統中異常Shell的獲取行為，包括對Shell文件的修改、刪除、移動、復制、硬鏈接、訪問權限變化。
非法系統帳號
檢測主機系統中的帳號，列出當前系統中的可疑帳號信息，幫助用戶及時發現非法帳號。
漏洞逃逸攻擊
監控到容器內進程行為符合已知漏洞的行為特征時（例如：“臟牛”、“bruteforce”、“runc”、“shocker”等），觸發逃逸漏洞攻擊告警。
文件逃逸攻擊
監控發現容器進程訪問了宿主機系統的關鍵文件目錄（例如：“/etc/shadow”、“/etc/crontab”），則認為容器內發生了逃逸文件訪問，觸發告警。即使該目錄符合容器配置的目錄映射規則，仍然會觸發告警。
容器進程異常
容器業務通常比較單一。如果用戶能夠確定容器內只會運行某些特定進程，可以在控制臺配置安全策略設置進程白名單并將策略關聯容器鏡像。
對于已關聯的容器鏡像啟動的容器，只允許白名單進程啟動，如果容器內存在非白名單進程，觸發容器異常程序告警。
容器異常啟動
對容器啟動時使用不合規的參數進行檢測告警。
容器啟動時可以帶有很多參數，對容器進行權限設置。如果沒有正確設置，可能會導致權限過大，給攻擊者留下可以利用的方式。
高危系統調用
Linux系統調用是用戶進程進入內核執行任務的請求通道。監控容器進程，如果發現進程使用了危險系統調用（例如：“open_by_handle_at”、“ptrace”、“setns”、“reboot”等），觸發高危系統調用告警。
敏感文件訪問
檢測重要文件的提權或持久化等訪問行為，對訪問行為進行告警。
需緊急修復DDoS攻擊第三方漏洞
檢測需要緊急修復來自DDoS的第三方漏洞攻擊。
惡意掃描
檢測對主機資產的異常掃描行為。
惡意挖礦
對在未經用戶同意或知情的情況下使用設備（計算機、智能手機、平板電腦甚至服務器）挖掘加密貨幣進行檢測，一旦發現立即報警上報。
賬戶登錄
登錄成功
對登錄成功的賬戶進行通知。