日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云安全中心 操作指南 威脅分析與響應 什么是威脅分析與響應

什么是威脅分析與響應

更新時間:
產品詳情
我的收藏

在日益復雜的網絡安全環境中,組織和企業面臨著如何在眾多分散的系統中有效追蹤和管理大量的安全告警和日志的挑戰。通過云安全中心的威脅分析與響應CTDR(Cloud Threat Detection and Response)服務,您將能夠集中處理來自多云環境、多賬戶和多產品的告警和日志數據,提高安全運維效率,加強對潛在風險的響應能力。

功能介紹

工作原理

威脅分析與響應是一款云原生安全信息和事件管理解決方案,主要提供日志標準化、告警生成、聚合分析、事件響應編排等能力。

威脅分析與響應通過集成多云、多賬號、多產品和不同安全廠商的日志,利用預定義和自定義的威脅檢測規則,深入分析收集到的日志,從而識別并構建出完整的攻擊鏈路,并形成詳細的安全事件。在檢測到安全威脅時,威脅分析與響應能夠啟動自動化響應編排,聯動相關云產品對威脅源執行封禁、隔離等安全措施,以實現快速且有效的安全事件處置。

image

功能特性

  • 標準化數據接入

    接入跨云平臺、跨產品、跨賬號的安全告警日志、網絡日志、系統日志、應用日志等,對數據進行標準化、上下文增強。

  • 多維度威脅檢測

    基于多源數據關聯分析、AI圖計算推理、以及實時更新的威脅情報等威脅發現手段,強化南向安全設備的單點威脅檢測能力。預定義跨數據源威脅檢測規則,提供四大類型事件分析模型:專家規則、圖計算、告警透傳、同類聚合。

  • 高效的事件調查

    聚合相關告警生成安全事件,自動還原攻擊時間線和路徑,安全事件對告警收斂率達萬分之一,豐富事件調查上下文,加速告警、事件處置研判效率。

  • 自動化響應編排

    通過自動響應規則和編排劇本,聯動多產品自動化處置惡意實體,如IP、文件、進程等,將應急響應經驗流程化、常態化、自動化。

支持接入的產品和日志

威脅分析與響應支持接入30+產品、60+日志類型。具體支持的云產品和日志信息如下表所示:

廠商

產品名稱

日志類型

阿里云

云安全中心(Security Center)

  • 安全告警日志、云平臺配置檢查日志、漏洞日志、基線日志

  • 登錄流水日志、網絡連接日志、進程啟動日志、文件讀寫日志、Mysql/FTP登錄失敗日志、暴力破解日志

  • 網絡快照日志、賬號快照日志、進程快照日志、端口快照日志

  • DNS解析日志、Web訪問日志、網絡會話日志、DNS請求日志

Web 應用防火墻 WAF(Web Application Firewall)

WAF告警日志、WAF CDN流日志(僅支持在中國區域接入)、WAF2.0全量/攔截/攔截和觀察日志、WAF3.0全量/攔截/攔截和觀察日志

云防火墻(Cloud Firewall)

云防火墻告警日志、云防火墻實時告警日志、云防火墻流量日志

DDoS 防護(Anti-DDoS)

DDoS高防全量日志、DDoS高防流日志(老高防)、DDoS原生防護日志

運維安全中心(堡壘機)(Bastionhost)

堡壘機日志

CDN

CDN流日志、CDN WAF流日志

邊緣安全加速 ESA(Edge Security Acceleration)

DCDN 邊緣函數日志、DCDN 用戶訪問日志、DCDN WAF攔截日志

API 網關(API Gateway)

API網關日志

容器服務 Kubernetes 版 ACK(Container Service for Kubernetes)

K8s審計日志

云原生數據庫 PolarDB

PolarDB-X 1.0 SQL審計日志、PolarDB-X 2.0 SQL審計日志

云數據庫 MongoDB 版

MongoDB運行日志、MongoDB審計日志

云數據庫 RDS(Relational Database Service)

RDS SQL審計日志

專有網絡 VPC(Virtual Private Cloud)

VPC流日志

彈性公網 IP EIP(Elastic IP Address)

彈性公網IP日志

負載均衡 SLB(Server Load Balancer)

ALB訪問日志、CLB訪問日志

對象存儲 OSS(Object Storage Service)

OSS訪問日志、OSS批量刪除日志、OSS每小時計量日志

文件存儲 NAS(File Storage NAS)

NAS NFS運行日志

函數計算 FC(Function Compute)

函數計算運行日志

操作審計(ActionTrail)

操作審計事件日志

配置審計(CloudConfig)

配置審計日志

騰訊云

Web應用防火墻

騰訊云Web應用防火墻告警日志

云防火墻

騰訊云云防火墻告警日志

華為云

Web應用防火墻

華為云Web應用防火墻告警日志

云防火墻

華為云云防火墻告警日志

應用場景

威脅分析與響應是一款集成了多種功能的云原生安全信息和事件管理平臺,旨在幫助企業用戶更高效地管理和應對安全威脅,簡化安全運維流程。以下是威脅分析與響應的一些典型應用場景:

  • 跨云、跨賬號、跨產品數據的統一歸集與審計

    威脅分析與響應可以將跨云環境、跨云賬號和跨產品的日志數據進行統一歸集,您可以通過設置全局賬號管理員在云安全中心控制臺集中查看和審計,輕松監控跨平臺的安全事件,簡化了數據分析和安全審計的工作。

  • 統一威脅運營與監測

    通過提供一個全局的數據監控和分析視角,威脅分析與響應讓您能在單一的云安全中心控制臺對多個產品進行威脅監控和運營管理,加快企業對安全事件的發現和響應速度。

  • 全局視野風險分析與告警降噪

    威脅分析與響應優化了日志數據處理,通過聚合和篩選告警數據,有效降低了告警的數量和頻率,幫助安全團隊聚焦于更重要的安全威脅,減少了信息過載和誤報。

  • 安全事件自動化響應與處置

    自動化響應和處置能力讓安全團隊能夠迅速采取行動,對監測到的威脅進行處理,如封禁惡意源或隔離受影響的資源,顯著提高了對安全事件的應對速度和整體安全性能。

購買及開通威脅分析與響應

支持通過包年包月(購買日志接入流量)或按量付費的方式開通CTDR的產品接入、威脅檢測、事件處置和編排響應能力。使用日志管理功能需購買日志存儲容量,日志存儲容量僅支持通過包年包月的方式購買。您可以根據實際情況選擇相應的購買方式。

包年包月購買

  1. 登錄云安全中心控制臺。

  2. 在左側導航欄,選擇檢測響應 > 威脅分析與響應。

  3. 威脅分析與響應頁面,單擊開通包年包月

  4. 快速購買頁簽,購買方式保持默認選項包年包月,設置威脅分析與響應是否選購為,并設置需要購買的日志接入流量日志存儲容量

    您可以參考下文設置威脅分析與響應的購買項,關于云安全中心版本選擇和其他服務選購說明,請參見購買云安全中心

    • 日志接入流量:選擇每天需接入威脅分析與響應進行分析的日志流量,單位為GB/天。起售量100 GB/天,購買步長為100 GB/天。購買該項后,您可以使用CTDR除日志管理、規則管理(自定義規則)、儀表板功能外的其他功能。

      重要

      • 未開通威脅分析與響應按量付費時,日志接入流量為必選項。

      • 開通威脅分析與響應按量付費時,日志接入流量該項將不再顯示。

      您可以通過以下方式估算需購買的日志接入流量:

      • 根據已開通的日志服務容量評估:

        日志接入流量(GB/天)=日志存儲容量/TTL

        • 日志存儲容量為需接入威脅分析與響應的日志源已使用的日志存儲空間。

        • TTL為日志保存時間。

      • 根據日志接入數量EPS評估:

        日志接入流量(GB/天)=EPS*86400s*SIZE/(1024*1024)

        • EPS全稱為Event Per Second,一天內接入威脅分析的原始日志的數量。

        • SIZE為每條日志的大小,一般范圍為3~7 KB。

    • 日志存儲容量(可選):選擇需使用的日志存儲容量,1,000 GB起售,購買步長為1,000 GB。推薦為每臺服務器配置120 GB日志存儲容量,或按照云安全中心日志分析存儲容量的3倍進行配置。更多信息,請參見日志管理

    image

  5. 仔細閱讀并選中云安全中心服務協議,單擊立即購買并完成支付。

  6. 登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區域:中國全球(不含中國)。

  7. 在左側導航欄,選擇檢測響應 > 威脅分析與響應。

  8. 威脅分析與響應頁面,單擊立即授權

    默認選中確認開啟推薦日志接入策略,以識別云上安全事件。選中該配置項并完成授權后,云安全中心將自動創建服務關聯角色AliyunServiceRoleForSasCloudSiem,以便CTDR使用該服務關聯角色訪問您其他云產品中的資源;在產品接入頁面,CTDR將自動接入當前阿里云賬號的云安全中心、Web應用防火墻、云防火墻和操作審計產品的日志,共計14種日志類型。如果未選中該配置項,您需要自行將日志接入CTDR。

    說明

    關于該服務關聯角色的更多信息,請參見云安全中心服務關聯角色。

開通按量計費

  1. 登錄云安全中心控制臺。

  2. 在左側導航欄,選擇檢測響應 > 威脅分析與響應。

  3. 威脅分析與響應頁面,單擊開通按量付費。

  4. 正在開通云安全中心按量付費對話框,仔細閱讀計費規則說明,并單擊立即開通并授權。

    執行完該操作后,云安全中心將自動創建服務關聯角色AliyunServiceRoleForSasCloudSiem,以便CTDR使用該服務關聯角色訪問您其他云產品中的資源。更多信息,請參見云安全中心服務關聯角色

開通后控制臺的變化

開通威脅分析與響應服務后,云安全中心管理控制臺的功能模塊頁面會產生變化。

功能模塊

變更說明

檢測響應

導航欄目錄名稱由檢測響應變更為威脅分析與響應,新增威脅分析與響應的功能模塊頁面,例如安全事件處置、日志管理等。同時原來的以下頁面會發生變更:

  • 安全告警:該頁面會去掉更多安全產品告警頁簽,新增聚合分析告警、自定義分析告警防火墻(Firewall)、Web應用防火墻(WAF)其他頁簽。

  • 攻擊分析:默認隱藏。

    您可以在安全告警頁面右上角單擊攻擊分析,進入云安全中心攻擊分析頁面。更多信息,請參見攻擊分析。

  • 事件調查:默認隱藏。

    您可以在安全告警頁面云工作負載保護平臺(CWPP)頁簽,在告警名稱列單擊image.png圖標,進入事件調查頁面。更多信息,請參見查看和處理安全告警

    image.png

系統配置 > 多賬號安全管理

多賬號安全管理頁面配置頁簽,新增威脅分析監控賬號模塊。

威脅分析與響應的全局賬號管理員在該模塊可管理需要接入威脅分析與響應的其他阿里云賬號。

基本概念

在使用威脅分析與響應的過程中,您可能會碰到一些專業術語。為了幫助您更好地理解這些術語,我們提供了相應的定義和解釋供您參考。

概念

解釋

處置策略

處置策略是以處置場景為最小單位的告警處置詳情。每個處置實體在每個處置場景的處置結果均會生成一條處置策略。

處置任務

處置任務是以作用域為最小單元的告警處置詳情。在事件處置過程中,每個處置實體的每個處置場景會根據作用域拆分成多個處置任務。

處置實體/實體

指關聯告警的核心對象,包括IP地址、文件名、進程名稱等。

響應編排

指在安全事件發生時,通過自動化工具和流程來組織和管理安全響應措施的一系列動作。這種方式能夠幫助組織快速、有效地對安全事件做出反應,減少人工干預,提高處置效率。

劇本(PlayBook)

響應編排的劇本,是由一系列預設的響應策略組成,并可在特定事件觸發時自動執行的自動化安全工作流程。

編寫劇本類似于繪制流程圖,包含流程的起始點、判定環節、具體動作和終結點。您可以通過可視化編輯界面自定義每個環節的特定動作,如定義終端管理組件的禁用網絡動作。

組件(Component)

與外部系統或服務的接口,如Web應用防火墻、云防火墻、數據庫、通知服務等。組件作為外部服務的連接器,本身不處理復雜的邏輯,而是依賴于所連接的系統或服務。在選擇組件后,您需要指定對應的資源和動作。

組件分為流程編排組件、基礎編排組件和安全應用組件。

資源實例(Resource Instance)

指定與組件相關聯的具體外部服務詳情。例如,對于MySQL組件,如果企業有多個MySQL服務實例,您需要明確要連接的具體數據庫實例。

動作(Action)

組件的具體執行能力,一個組件可能包含多種動作。以終端管理軟件為例,可能包括如禁用賬戶、隔離網絡、發送通知等動作。

相關文檔