在日益复杂的网络安全环境中,组织和企业面临着如何在众多分散的系统中有效追踪和管理大量的安全告警和日志的挑战。通过云安全中心的威胁分析与响应服务,您将能够集中处理来自多云环境、多账户和多产品的告警和日志数据,提高安全运维效率,加强对潜在风险的响应能力。
功能介绍
工作原理
威胁分析与响应是一款云原生安全信息和事件管理解决方案,主要提供日志采集、告警生成、聚合分析、事件响应编排等能力。
威胁分析与响应通过集成多云、多账号和多产品的日志,利用预定义和自定义的安全检测规则,深入分析收集到的日志,从而识别并构建出完整的攻击链路,并形成详细的安全事件。在检测到安全威胁时,威胁分析与响应能够启动自动化响应编排,联动相关云产品对威胁源执行封禁、隔离等安全措施,以实现快速且有效的安全事件处置。
功能特性
标准化数据采集
采集跨云平台、跨产品、跨账号的安全告警日志、网络日志、系统日志、应用日志等,对数据进行标准化、上下文增强。
多维度威胁检测
基于多源数据关联分析、AI图计算推理、以及实时更新的威胁情报等威胁发现手段,强化南向安全设备的单点威胁检测能力。预定义跨数据源威胁检测规则,提供四大类型事件分析模型:专家规则、图计算、告警透传、同类聚合。
高效的事件调查
聚合相关告警生成安全事件,自动还原攻击时间线和路径,安全事件对告警收敛率达万分之一,丰富事件调查上下文,加速告警、事件处置研判效率。
自动化响应编排
通过自动响应规则和编排剧本,联动多产品自动化处置恶意实体,如IP、文件、进程等,将应急响应经验流程化、常态化、自动化。
支持接入的产品和日志
威胁分析与响应支持接入20+云产品、50+日志类型。具体支持的云产品和日志信息如下表所示:
厂商 | 产品名称 | 日志类型 |
阿里云 | 云安全中心(Security Center) |
|
Web 应用防火墙 WAF(Web Application Firewall) | WAF告警日志、WAF流日志、WAF 3.0流日志 | |
云防火墙(Cloud Firewall) | 云防火墙告警日志、云防火墙流日志 | |
DDoS 防护(Anti-DDoS) | DDoS新BGP高防流日志、DDoS高防流日志、DDoS原生防护日志 | |
运维安全中心(堡垒机)(Bastionhost) | 堡垒机日志 | |
CDN | CDN流日志、CDN WAF流日志 | |
API 网关(API Gateway) | API网关日志 | |
容器服务 Kubernetes 版 ACK(Container Service for Kubernetes) | K8s审计日志 | |
云原生数据库 PolarDB | PolarDB-X 1.0审计日志、PolarDB-X 2.0审计日志 | |
云数据库 MongoDB 版 | MongoDB运行日志、MongoDB审计日志 | |
云数据库 RDS(Relational Database Service) | RDS审计日志 | |
专有网络 VPC(Virtual Private Cloud) | VPC流日志 | |
弹性公网 IP EIP(Elastic IP Address) | 弹性网卡流日志 | |
Server Load Balancer SLB(Server Load Balancer) | CLB 7层日志、ALB流日志 | |
对象存储 OSS(Object Storage Service) | OSS批量删除日志、OSS计量日志、OSS流日志 | |
文件存储 NAS(File Storage NAS) | NAS NFS运行日志 | |
函数计算 FC(Function Compute) | 函数计算运行日志 | |
操作审计(ActionTrail) | 操作审计日志 | |
配置审计(CloudConfig) | 配置审计日志 | |
边缘安全加速 ESA(Edge Security Acceleration) | DCDN 边缘函数日志、DCDN 用户访问日志、DCDN WAF拦截日志 | |
腾讯云 | Web应用防火墙 | Web应用防火墙告警日志 |
云防火墙 | 云防火墙告警日志 | |
华为云 | Web应用防火墙 | Web应用防火墙告警日志 |
云防火墙 | 云防火墙告警日志 |
购买及开通威胁分析与响应
访问云安全中心购买页并使用您的阿里云账号登录。
设置威胁分析与响应是否选购为是,并设置需要购买的日志接入流量和日志存储容量。
您可以参考下文设置威胁分析与响应的购买项,关于云安全中心版本选择和其他服务选购说明,请参见购买云安全中心。
日志接入流量(必选):选择每天需接入威胁分析与响应进行分析的日志流量,单位为GB/天。起售量100 GB/天,购买步长为100 GB/天。您可以通过以下方式估算需购买的日志接入流量:
根据已开通的日志服务容量评估:
日志接入流量(GB/天)=日志存储容量/TTL*4
日志存储容量为需接入威胁分析与响应的日志源已使用的日志存储空间。
TTL为日志保存时间。
4代表日志压缩比系数,即日志接入流量与落盘存储日志容量的比例。常用取值为3~6,推荐配置为4。
根据日志接入数量EPS评估:
日志接入流量(GB/天)=EPS*86400s*SIZE/(1024*1024)
EPS全称为Event Per Second,一天内接入威胁分析的原始日志的数量。
SIZE为每条日志的大小,一般范围为3~7 KB。
日志存储容量(可选):选择需使用的日志存储容量,1,000 GB起售,购买步长为1,000 GB。推荐为每台服务器配置120 GB日志存储容量,或按照云安全中心日志分析存储容量的3倍进行配置。更多信息,请参见日志管理。
细阅读并选中云安全中心服务协议,单击立即购买并完成支付。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在威胁分析与响应页面,单击立即授权。
默认选中自动接入阿里云云安全中心、Web应用防火墙、云防火墙的告警日志,以识别云上安全事件。完成授权后,在产品接入页面当前阿里云账号的三个云产品的告警日志将已自动接入。完成授权后,云安全中心将自动创建服务关联角色AliyunServiceRoleForSasCloudSiem,威胁分析与响应将使用该服务关联角色访问您其他云产品中的资源。关于AliyunServiceRoleForSasCloudSiem角色的更多信息,请参见云安全中心服务关联角色。
开通后控制台的变化
开通威胁分析与响应服务后,云安全中心管理控制台的功能模块页面会产生变化。
功能模块 | 变更说明 |
检测响应 | 导航栏目录名称变更为威胁分析与响应,新增威胁分析与响应的功能模块页面,例如安全事件处置、日志管理等。同时原来的以下页面会发生变更: |
新增威胁分析监控账号页签。 在该页签可添加需要接入威胁分析与响应的其他阿里云账号。 |
图标,进入事件调查页面。更多信息,请参见
基本概念
在使用威胁分析与响应的过程中,您可能会碰到一些专业术语。为了帮助您更好地理解这些术语,我们提供了相应的定义和解释供您参考。
概念 | 解释 |
处置策略 | 处置策略是以处置场景为最小单位的告警处置详情。每个处置实体在每个处置场景的处置结果均会生成一条处置策略。 |
处置任务 | 处置任务是以作用域为最小单元的告警处置详情。在事件处置过程中,每个处置实体的每个处置场景会根据作用域拆分成多个处置任务。 |
处置实体/实体 | 指关联告警的核心对象,包括IP地址、文件名、进程名称等。 |
响应编排 | 指在安全事件发生时,通过自动化工具和流程来组织和管理安全响应措施的一系列动作。这种方式能够帮助组织快速、有效地对安全事件做出反应,减少人工干预,提高处置效率。 |
剧本(PlayBook) | 响应编排的剧本,是由一系列预设的响应策略组成,并可在特定事件触发时自动执行的自动化安全工作流程。 编写剧本类似于绘制流程图,包含流程的起始点、判定环节、具体动作和终结点。您可以通过可视化编辑界面自定义每个环节的特定动作,如定义终端管理组件的禁用网络动作。 |
组件(Component) | 与外部系统或服务的接口,如Web应用防火墙、云防火墙、数据库、通知服务等。组件作为外部服务的连接器,本身不处理复杂的逻辑,而是依赖于所连接的系统或服务。在选择组件后,您需要指定对应的资源和动作。 组件分为流程编排组件、基础编排组件和安全应用组件。 |
资源实例(Resource Instance) | 指定与组件相关联的具体外部服务详情。例如,对于MySQL组件,如果企业有多个MySQL服务实例,您需要明确要连接的具体数据库实例。 |
动作(Action) | 组件的具体执行能力,一个组件可能包含多种动作。以终端管理软件为例,可能包括如禁用账户、隔离网络、发送通知等动作。 |
相关文档
开通威胁分析与响应服务后,您可以接入云产品日志,实现跨资源告警和日志数据的统一监管与分析。具体操作,请参见接入云产品日志。