云安全中心支持攻擊分析功能,為您全面展示您資產受到的攻擊并對攻擊行為進行分析。本文介紹了攻擊分析的統計信息,包括攻擊次數、攻擊類型分布、攻擊來源TOP 5、被攻擊資產TOP 5和攻擊詳情列表。
版本限制
僅云安全中心的企業版和旗艦版支持該功能,其他版本不支持。購買和升級云安全中心服務的具體操作,請參見購買云安全中心和升級與降配。
背景信息
攻擊分析基于阿里云平臺的安全防護能力,為您提供基礎攻擊檢測和防護。云安全中心檢測到基礎攻擊后會自動進行攔截和處理,并在攻擊分析頁面為您展示攻擊相關的數據,針對這些攻擊無需您做任何處理。如果涉及風險較高的攻擊事件,您可對指定攻擊來源的地址進行進一步分析或排查。建議您根據自身業務需求,考慮從防火墻和業務安全方面構建更精細化的縱深防護體系。
登錄云安全中心控制臺,選擇需防護資產所在的區域:中國或全球(不含中國),在頁面,查看您資產受到的攻擊詳情。
如果您已開通威脅分析與響應功能,您需要在安全告警頁面右上角單擊前往當前賬號攻擊分析。
如果您處于安全告警處理頁面,需要您先點擊右上角的全局安全告警,在安全告警頁面右上角單擊前往當前賬號攻擊分析。
在攻擊分析頁面查看您資產受到的攻擊詳情,具體包括以下內容:
攻擊次數:指定時間范圍內資產被攻擊的總次數。
攻擊類型分布:攻擊類型和對應的攻擊次數。
攻擊來源TOP 5:攻擊次數排名前5位的攻擊來源IP地址。
被攻擊資產TOP 5:被攻擊次數排名前5位的資產信息。
攻擊詳情列表:所有攻擊事件的詳細信息,包含攻擊發生的時間、攻擊源IP地址、被攻擊的資產信息、攻擊類型和攻擊狀態。
在攻擊分析頁面,您可以設置時間范圍查看以下攻擊分析結果。您可以快速查看當天、最近7天或最近30天內的攻擊分析結果,也可以選擇自定義時間,查看最近30天內任意時間范圍的攻擊分析結果。
新購買的云產品,需等待云安全中心自動完成該產品的網絡攻擊數據同步后(攻擊數據同步需要3小時左右的時間),才可查看相關的攻擊分析信息。
攻擊分析數據來源于云安全中心、阿里云云平臺、Web應用防火墻(前提是已開通Web應用防火墻服務)。
攻擊次數
您可在攻擊次數區域查看指定時間范圍內資產被攻擊的總次數曲線圖和攻擊次數峰谷值。鼠標懸浮在曲線圖上可展示攻擊發生的日期、時間和次數值。
攻擊類型分布
您可在攻擊類型分布區域,查看攻擊類型名稱和該類型攻擊發生的總次數。
攻擊來源TOP 5
您可在攻擊來源TOP 5區域,查看攻擊次數排名前五的攻擊來源IP地址及其對應的攻擊次數。
被攻擊資產TOP 5
您可在被攻擊資產TOP 5區域,查看您資產中被攻擊次數排名前5的資產公網IP地址及其被攻擊次數。
攻擊詳情列表
您可在攻擊詳情列表中查看您資產受到的攻擊的詳細信息,包含攻擊發生的時間、攻擊源IP地址、被攻擊的資產信息、攻擊類型、攻擊方法和攻擊狀態。
攻擊詳情列表展示攻擊數據上限為10,000條。如需查看更多數據可切換時間范圍查看指定時間范圍內的全部攻擊數據。
攻擊詳情參數表
參數 | 說明 |
攻擊時間 | 攻擊發生的時間。 |
攻擊來源 | 發起攻擊的源IP地址和區域。 |
被攻擊資產 | 被攻擊資產的名稱和公網、私網IP地址。 |
攻擊方法 | 發起攻擊采用的HTTP請求方法:POST或GET。 |
端口 | 被攻擊的端口號,僅攻擊類型為SSH暴力破解時會顯示被攻擊的端口號。 |
攻擊類型 | 攻擊事件的類型,例如SSH暴力破解、代碼執行等。 |
攻擊狀態 | 攻擊事件當前所處的狀態。云安全中心在檢測到攻擊事件的同時基于云平臺防御能力對常見攻擊進行防御,已防御的攻擊事件狀態為已防御。異常入侵事件將會展示在安全告警處理頁面中。 |
在攻擊詳情列表中您可以執行以下操作。
搜索查看攻擊事件
您可通過攻擊詳情列表上方搜索條件,篩選指定的攻擊類型、被攻擊資產、攻擊來源和端口,搜索目標的攻擊事件并查看其詳細信息。
查看攻擊來源詳情
查看被攻擊資產信息
鼠標移動到被攻擊資產名稱處可查看該資產的基本信息。
導出攻擊事件列表
單擊攻擊事件列表左上方的
圖標,將云安全中心檢測出的攻擊事件統一導出并保存到本地。導出的文件為Excel格式。關閉攔截規則
在攻擊事件列表中,中國蟻劍Webshell通信、中國菜刀Webshell通信和XISE Webshell通信這三類攻擊事件的攻擊類型列,會顯示
圖標,鼠標懸停在該圖標上,可以看到關閉攔截規則對話框。如果您的系統不需要云安全中心自動攔截此類可疑攻擊行為,您可以單擊去惡意行為防御配置,前往惡意行為防御頁面關閉該系統防御規則。
