如果您拥有多个阿里云账号,希望同时管控这些阿里云账号的多个云产品(例如云防火墙、专有网络VPC等)中的安全信息和安全事件,您可以使用云安全中心威胁分析功能。该功能可以帮您分析检测并快速处置安全风险。本文介绍如何使用威胁分析功能。

功能介绍

功能及优势说明

威胁分析支持对阿里云上多账号、多产品的安全日志及告警进行采集,并基于内置安全检测规则对来自多源头的告警及日志进行聚合分析,实现安全事件聚焦、发现未知威胁,同时提供丰富的事件上下文、溯源信息及一键化处置功能,提升事件运营效率。该功能具有以下优势:

云上威胁统一管理

支持统一管理云上多账号、多产品告警,集中呈现云上整体安全态势,实时监控云上业务整体安全。

丰富的检测规则

支持丰富的预定义规则,结合云端安全专家经验,通过对多产品的日志、行为进行关联分析发现攻击前置阶段或者沦陷后横向移动的行为特征,发现未知威胁。

威胁事件快速响应

通过内置事件处置流程及常见的自动化编排为用户提供威胁事件的快速响应能力。

AI算法赋能

使用AI模型参与威胁调查及可视化溯源,并结合威胁情报降低误报率,实现检测、响应、溯源的自动化运营闭环,保护整体业务安全的同时提高运维效率。

支持接入的云产品

威胁分析功能支持接入的云产品包括:云安全中心(态势感知)、云防火墙、负载均衡、专有网络VPC、容器服务Kubernetes版、操作审计、Web应用防火墙、弹性公网IP、运维安全中心(堡垒机)、对象存储、云原生关系型数据库PolarDB。

开通威胁分析的影响

开通威胁分析功能后,云安全中心会自动为您聚合已接入管控的多个阿里云账号和阿里云产品下的安全日志进行威胁检测,会对云安全中心管理控制台的安全告警处理日志分析等页面产生影响。

点此处查看具体影响
页面名称 变更类型 说明
安全告警处理 变更 该页面名称变更为安全告警。您可以在安全告警页面,查看已接入的多账号和云产品下的安全告警。单击页面右上角主机和容器安全告警全局安全告警,可在云安全中心的安全告警数据和威胁分析聚合后的多账号和云产品的安全告警数据之间切换。
事件处置 新增 您可以在事件处置页面,查看并处理已接入的多账号和云产品下的威胁事件。
日志分析 变更 您可以在日志分析页面,查看已接入的多账号和云产品的日志。单击页面右上角返回旧版日志分析前往全局日志分析,可在原云安全中心日志分析数据和威胁分析聚合后的多账号和云产品的日志分析数据之间切换。
多账号安全管控 变更 新增威胁分析监控账号页签,支持在该页面配置威胁分析监控账号。
攻击分析 隐藏 开通威胁分析服务后,云安全中心将不再显示该页面。
事件调查 隐藏 开通威胁分析服务后,云安全中心将不再显示该页面。您可以在事件处置页面,查看安全风险事件相关信息。

步骤一:开通威胁分析服务

首次使用时需要开通服务,通过购买威胁分析日志存储容量可以开通该服务。开通服务后,会对控制台部分页面产生影响。更多信息,请参见开通威胁分析的影响

  1. 登录云安全中心控制台在左侧导航栏,选择检测响应 > 产品接入
  2. 单击立即购买
  3. 立即升级面板,将威胁分析选择,并设置威胁分析日志存储容量
    如果已购买日志分析存储容量,建议您将威胁分析日志存储容量设置为日志分析存储容量的三倍。威胁分析需要存储已接入管控的多个阿里云账号和阿里云产品的日志,因此需要更多的日志存储容量。
  4. 单击立即购买并完成支付。
  5. 返回产品接入页面,单击立即授权
    单击立即授权后,阿里云将自动为您创建云安全中心服务关联角色AliyunServiceRoleForSasCloudSiem,云安全中心威胁分析功能使用此角色访问您其他云产品中的资源。更多信息,请参见云安全中心服务关联角色

步骤二:配置账号体系

如果有多个阿里云账号需要接入威胁分析,在首次使用威胁分析功能前,您需要在阿里云资源目录管理控制台参考以下说明完成账号体系配置。如果只需将当前阿里云账号接入威胁分析,请跳过当前步骤。

  1. 在资源目录控制台,将购买云安全中心威胁分析功能的阿里云账号添加为委派管理员。
    在添加委派管理员账号时,可信服务选择云安全中心-威胁分析,需要添加的成员选择购买威胁分析功能的阿里云账号。具体操作,请参见添加委派管理员账号
  2. 在资源目录控制台配置账号体系。
    1. 开通资源目录。具体操作,请参见开通资源目录
    2. 在资源目录中创建成员或邀请成员。具体操作,请参见创建成员邀请阿里云账号加入资源目录
      将需要威胁分析功能管理的阿里云账号创建为资源目录中的成员。
  3. 在云安全中心控制台添加需要接入威胁分析的阿里云账号。
    1. 登录云安全中心控制台在左侧导航栏,选择系统配置 > 多账号安全管控
    2. 如果您未使用过多账号安全管控功能,单击开启威胁分析管控
    3. 威胁分析监控账号页签,单击添加账号
    4. 添加账号面板,在账号下拉列表中选中需要添加的阿里云账号。
      可供选择的阿里云账号为您在资源目录中已添加为成员的账号。关于多账号安全管控的更多信息,请参见多账号安全管控

步骤三:接入云产品

本步骤以接入云安全中心(态势感知)为例,介绍接入云产品的操作步骤,其余云产品接入的操作步骤和云安全中心类似。

  1. 在左侧导航栏,选择检测响应 > 产品接入
  2. 在可接入产品区域的云安全中心(态势感知)卡片,单击立即接入
  3. 云安全中心(态势感知)接入面板,单击需要接入的日志类型接入账号列的选择
  4. 选择账号面板,选中需要接入的账号,根据控制台提示确定是否选择LogStore。
    以下是关于选择LogStore的说明:
    • 如果云产品只支持使用产品定义的LogStore(例如云安全中心(态势感知)),您只需选中账号,无需选择LogStore,云安全中心会自动接入产品定义的LogStore。
    • 如果云产品同时支持使用产品定义和用户自定义的LogStore(例如专有网络VPC),您需要在选中账号后,单击LogStore列的自动获取,并在下拉列表中选择对应日志存储的LogStore或将自定义的LogStore名称复制到此处。自动获取只支持获取产品定义的LogStore,无法获取用户自定义的LogStore。您需要手动填写自定义的LogStore,LogStore的填写格式为regionId.project.logStore
  5. 完成账号配置后,单击确定

步骤四:处置事件

开通威胁分析功能并完成产品接入后,威胁分析功能会根据采集到的安全信息数据,分析并展示检测出的安全事件。您可以在事件处置页面查看并处理安全威胁事件,提高您资产的安全性。

事件风险等级说明

风险等级 描述
高危 该事件所描述的行为,表示发现了明确的恶意行为或实体,此次事件极可能是一次成功的入侵行为,对您的资产已经造成了不良影响,例如“进程异常行为-反弹Shell”,建议您立即查看该事件并及时处理。
中危 中危为中置信度的成功攻击事件。该事件所描述的行为,表示发现了一些疑似恶意的行为或实体,此次事件有可能是一次成功的入侵行为,可能已经对您的资产造成了不良影响,也有可能是部分不寻常的运维行为导致的。例如“异常登录”等。该风险等级表示您的资产有一定概率正在受到攻击,建议您查看该事件详情,进一步判断是否存在风险并进行相应处理。
低危 低危为低置信度的成功或不一定成功的攻击事件。该事件所描述的行为,表示此次事件有一定概率是一次成功的入侵行为,或是代表您的资产正在遭受外部的持续攻击探测,例如“来自106.11.XX.XX的访问”。如果您对资产的安全等级要求较高,可以关注该等级的安全事件。

查看事件详情

说明 同一个事件多次被检测到时,如果已经存在的事件状态为未处理,则在该事件中新增告警;如果已经存在的事件状态为处理中、处理完成或处理失败,则会新建一个事件,并在新事件中新增告警。
  1. 登录云安全中心控制台在左侧导航栏,选择检测响应 > 事件处置
  2. 事件处置页面,单击目标事件操作列的详情
  3. 在事件详情页面的不同页签下查看该事件的详细信息。
    页签 描述
    事件信息 该页签展示事件的危险等级、所有者(所属的阿里云账号)、事件描述、发生时间和受影响资产等信息。如需查看受影响资产的详细信息,您可以在受影响资产区域将鼠标移动至需要查看的资产操作列下的详情处,查看该资产的更多信息,例如:资产名称、公网IP、私网IP、操作系统等。
    攻击时间线 该页签按照时间线方式展示该事件相关的告警。您可以单击对应告警图标,查看告警的详细信息。通过攻击时间线可以了解事件的发展过程,为您处理并规避此类事件提供更多详细信息。
    事件告警 该页签展示事件相关告警。单击目标告警操作列的详情,即可查看该告警的详细信息和关联异常。
    事件溯源 该页签是以事件为源头的自动化溯源可视图。威胁分析支持自动化事件溯源,可对事件进行自动化溯源并提供原始数据预览。事件溯源功能结合多种云产品日志,通过大数据分析引擎对数据进行加工、聚合、可视化,形成事件的发生链路图,帮助您在最短的时间内定位事件发生原因和制定事件处理策略。

    单击事件中的节点,即可查看对应节点的详细信息。单击事件溯源页签右上角的下载图标设置图标节点图例图标图标,可下载当前页面展示的事件溯源图片、设置溯源图样式、查看节点图例。

处理安全事件

及时处理威胁分析事件可以提高系统的安全性,建议您及时处理风险等级为高危的安全事件。

  1. 登录云安全中心控制台在左侧导航栏,选择检测响应 > 事件处置
  2. 事件处置页面,单击目标事件操作列的处理
  3. 在事件处理面板,完成以下配置,并单击确定
    1. 设置当前事件的处理状态备注
      • 处理状态:可选择待处理处理中已处理
        说明 不支持手动选择处理失败状态。云安全中心在运行处置规则失败时,会将该事件的状态置为处理失败
      • 备注:如需对处理当前事件做更多说明时(例如说明事件处理的进展),您可以单击备注,填写当前事件的备注信息。
    2. 设置处理规则。
      处理规则可以定义特定场景下的事件处理方式。如果当前事件需要涉及多个云产品,您可以为每一个云产品创建对应的处理规则。一个云产品中可能存在多个处理事件的场景。配置规则的具体步骤如下。
      1. 单击处理规则设置右侧的新建
      2. 在规则列表中选择场景具体处置对象作用域动作时效
        配置项 描述 配置示例
        场景 威胁分析功能会提供当前事件的可处理场景,该场景中已包含需要调用的云产品和具体的动作。
        • 场景:使用安骑士深度检测
        • 具体处置对象:b9701564-e7c6-4f5c-83f1-248edea9****
        • 作用域:127608589417****
        • 动作时效:--
        具体处置对象 您在选择具体场景后,需要选择该场景的具体处置对象。
        作用域 选择该规则生效的阿里云账号。
        动作时效 选择执行动作的生效时间。仅某些特定的场景支持配置动作时效。
    3. 设置事件加白规则。
      如果当前事件在某些场景下无需处理,您可以配置事件加白规则。配置事件加白规则后,当再次发生相同事件时,威胁分析功能会将该事件自动置为已处理状态。以下是具体的操作步骤:
      1. 单击事件加白设置右侧的新建策略组
      2. 在事件加白设置列表中设置场景对象条件条件值
        配置项 描述 配置示例
        场景 威胁分析会提供当前事件可加白的场景供您选择。
        • 策略组一
          • 场景:Rootkit
          • 对象一:主机UUID
            • 条件:等于
            • 条件值:f6170c02-d55f-4c42-b73f-a394d7a2****
          • 对象二:文件路径
            • 条件:包含
            • 条件值:/root/md5/4ff73477a06a3412145d1a7e6d9c****
        • 策略组二
          • 场景:被污染的基础软件
          • 对象:主机UUID
          • 条件:等于
          • 条件值:f6170c02-d55f-4c42-b73f-a394d7a2****
        对象 选择当前场景生效的具体对象。威胁分析会根据您选择的场景提供可供选择的生效对象。
        条件条件值 设置加白设置的生效条件和条件值。
      说明
      • 在一个场景策略组下,您可以配置多条加白规则。同一场景下的不同策略以“或”关系生效。
      • 支持创建多个场景策略组。多个场景策略组以“与”关系生效。
    4. 配置事件处理通知策略。
      仅配置了处理规则时需要配置通知策略。
      配置项 描述 配置示例
      事件处置通知标题 设置事件处置通知的标题。
      • 事件处置通知标题:恶意进程事件已处置
      • 通知人:username@example.com
      • 通知策略:邮箱
      通知人 设置需要接收通知的邮箱地址或手机号码。
      通知策略 选择通知策略,支持选择短信或邮箱。

      完成通知策略配置后,您可以在右侧消息预览区域,查看发送的消息预览。

步骤五:查看安全告警

开通威胁分析功能后,安全告警页面将为您展示多账号和多云产品聚合后的安全告警。如需查看云安全中心原安全告警数据,您可以单击安全告警页面右上角的主机和容器安全告警切换到云安全中心安全告警页面。关于云安全中心安全告警的更多信息,请参见安全告警概述。如需切换到威胁分析功能的安全告警页面,您可以单击安全告警处理页面右上角的全局安全告警

  1. 登录云安全中心控制台在左侧导航栏,选择检测响应 > 安全告警
  2. 安全告警页面,单击目标告警操作列的详情
  3. 在告警详情页面,查看告警的详细信息。
    支持查看告警的受影响资产、首次发生时间、数据源、告警账号和关联异常。

步骤六:使用日志分析

开启威胁分析功能后,您可以在日志分析页面查看多账号和多云产品聚合后的日志信息。如需要查看云安全中心原先的日志分析数据,您可以单击日志分析页面右上角返回旧版日志分析,切换到云安全中心日志分析页面。关于云安全中心日志分析的更多信息,请参见使用前必读。需要切换到威胁分析日志功能时,请单击前往全局日志分析

使用前必读

已接入威胁分析的云产品的日志集中存放在专属Logstore(日志库)中。您可以在日志服务控制台,存储云安全中心日志服务的项目aliyun-cloudsiem-data-阿里云账户ID-区域名中找到专属Logstore。

开通威胁分析并接入产品后,系统会自动在日志服务控制台创建专属于威胁分析的Logstore(名称为cloud_siem)并存储云安全中心的日志数据,请您注意不要误删。

重要 如果误删Logstore,后台会提示cloud_siem日志库不存在,并且您当前Logstore的所有日志数据会丢失。这种情况下,您需要通过智能在线联系技术支持人员重置处理。重置后您需重新开通威胁分析服务才可继续使用。已丢失的日志数据无法恢复。
项目 说明
日志库限制说明
  • 您无法通过API或SDK等方式在数据库中写入数据。
  • 开通云安全中心日志服务需要先付费购买威胁分析日志存储容量再开通SLS日志服务。
  • 如果接入了云安全中心,您可以查看的云安全中心日志类型和您的云安全中心版本有关系。云安全中心企业版旗舰版用户支持查看所有日志;防病毒版高级版用户仅支持查看安全日志和主机日志,不支持查看网络日志;不支持免费版用户查看日志。
日志存储的地域 华东2(上海)

购买威胁分析后,威胁分析功能会自动在华东2(上海)创建一个Project用于存储全量计算所需要的日志数据。

操作步骤

  1. 登录云安全中心控制台在左侧导航栏,选择检测响应 > 日志分析
  2. 所有数据源下拉列表,选中您需要查看的数据源。
  3. 查看日志分析数据。
    威胁分析的日志分析功能和云安全中心日志分析使用方法相同,具体操作,请参见自定义日志查询与分析