统一管理多云多账号多产品的日志和告警_云安全中心(Security Center)-阿里云帮助中心

在日益复杂的网络安全环境中，组织和企业面临着如何在众多分散的系统中有效追踪和管理大量的安全告警和日志的挑战。通过云安全中心的威胁分析与响应服务，您将能够集中处理来自多云环境、多账户和多产品的告警和日志数据，提高安全运维效率，加强对潜在风险的响应能力。

功能介绍

工作原理

威胁分析与响应是一款云原生安全信息和事件管理解决方案，主要提供日志采集、告警生成、聚合分析、事件响应编排等能力。

威胁分析与响应通过集成多云、多账号和多产品的日志，利用预定义和自定义的安全检测规则，深入分析收集到的日志，从而识别并构建出完整的攻击链路，并形成详细的安全事件。在检测到安全威胁时，威胁分析与响应能够启动自动化响应编排，联动相关云产品对威胁源执行封禁、隔离等安全措施，以实现快速且有效的安全事件处置。

功能特性

标准化数据采集
采集跨云平台、跨产品、跨账号的安全告警日志、网络日志、系统日志、应用日志等，对数据进行标准化、上下文增强。
多维度威胁检测
基于多源数据关联分析、AI图计算推理、以及实时更新的威胁情报等威胁发现手段，补强南向安全设备的单点威胁检测能力。内置40+威胁检测场景，提供三大类事件分析模型。
高效的事件调查
聚合相关告警生成安全事件，自动还原攻击时间线和路径，安全事件对告警收敛率达万分之一，丰富事件调查上下文，加速告警、事件处置研判效率。
自动化响应编排
通过自动响应规则和编排剧本，联动多产品自动化处置恶意实体，如IP、文件、进程等，将应急响应经验流程化、常态化、自动化。

支持接入的云产品和日志

威胁分析与响应支持接入20+云产品、50+日志类型。具体支持的云产品和日志信息如下表所示：

云厂商	产品名称	日志类型
阿里云	云安全中心（Security Center）	云安全中心告警日志、云安全中心配置检查日志、漏洞日志、基线日志登录流水日志、网络连接日志、进程启动日志、文件读写日志、主机登录失败日志、Mysql/FTP登录失败日志账号快照日志、网络快照日志、账号快照日志、进程快照日志、端口快照日志互联网HTTP日志、互联网Session日志、互联网DNS日志、DNS解析日志
	Web 应用防火墙 WAF（Web Application Firewall）	WAF告警日志、WAF流日志、WAF 3.0流日志
	云防火墙（Cloud Firewall）	云防火墙告警日志、云防火墙流日志
	DDoS 防护（Anti-DDoS）	DDoS新BGP高防流日志、DDoS高防流日志、DDoS原生防护日志
	运维安全中心（堡垒机）（Bastionhost）	堡垒机日志
	CDN	CDN流日志、CDN WAF流日志
	API 网关（API Gateway）	API网关日志
	容器服务 Kubernetes 版 ACK（Container Service for Kubernetes）	K8s审计日志
	云原生数据库 PolarDB	PolarDB-X 1.0审计日志、PolarDB-X 2.0审计日志
	云数据库 MongoDB 版	MongoDB运行日志、MongoDB审计日志
	云数据库 RDS（Relational Database Service）	RDS审计日志
	专有网络 VPC（Virtual Private Cloud）	VPC流日志
	弹性公网 IP EIP（Elastic IP Address）	弹性网卡流日志
	负载均衡 SLB（Server Load Balancer）	CLB 7层日志、ALB流日志
	对象存储 OSS（Object Storage Service）	OSS批量删除日志、OSS计量日志、OSS流日志
	文件存储 NAS（Apsara File Storage NAS）	NAS NFS运行日志
	函数计算 FC（Function Compute）	函数计算运行日志
	操作审计（ActionTrail）	操作审计日志
	配置审计（CloudConfig）	配置审计日志
腾讯云	Web应用防火墙	Web应用防火墙告警日志
腾讯云	云防火墙	云防火墙告警日志
华为云	Web应用防火墙	Web应用防火墙告警日志
华为云	云防火墙	云防火墙告警日志

应用场景

威胁分析与响应是一款集成了多种功能的云原生安全信息和事件管理平台，旨在帮助企业用户更高效地管理和应对安全威胁，简化安全运维流程。以下是威胁分析与响应的一些典型应用场景：

跨云、跨账号、跨产品数据的统一归集与审计
威胁分析与响应可以将跨云环境、跨云账号和跨产品的日志数据进行统一归集，您可以通过一个管理员账号在云安全中心控制台集中查看和审计，轻松监控跨平台的安全事件，简化了数据分析和安全审计的工作。
统一威胁运营与监测
通过提供一个全局的数据监控和分析视角，威胁分析与响应让您能在单一的云安全中心控制台对多个产品进行威胁监控和运营管理，加快企业对安全事件的发现和响应速度。
全局视野风险分析与告警降噪
威胁分析与响应优化了日志数据处理，通过聚合和筛选告警数据，有效降低了告警的数量和频率，帮助安全团队聚焦于更重要的安全威胁，减少信息过载和误报。
安全事件自动化响应与处置
自动化响应和处置能力让安全团队能够迅速采取行动，对监测到的威胁进行处理，如封禁恶意源或隔离受影响的资源，显著提高了对安全事件的应对速度和整体安全性能。

购买及开通威胁分析与响应

访问云安全中心购买页。
设置威胁分析为是，并修改需要购买的威胁分析日志存储量。
登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
在左侧导航栏，选择检测响应 > 威胁分析与响应。
在威胁分析与响应页面，单击立即授权。
授权后，云安全中心将自动创建服务关联角色AliyunServiceRoleForSasCloudSiem，威胁分析与响应将使用该服务关联角色访问您其他云产品中的资源。关于AliyunServiceRoleForSasCloudSiem角色的更多信息，请参见云安全中心服务关联角色。

开通后控制台的变化

开通威胁分析与响应服务后，云安全中心管理控制台的功能模块页面会产生变化。

功能模块

变更说明

检测响应

导航栏目录名称变更为威胁分析与响应，新增威胁分析与响应的功能模块页面，例如安全事件处置、日志搜索等。同时原来的以下页面会发生变更：

安全告警处理：页面名称变更为安全告警，页面内容展示为威胁分析与响应服务下全局的安全告警信息。
您可以在安全告警页面右上角单击主机和容器安全告警，进入云安全中心原来的安全告警处理页面。
攻击分析：默认隐藏。
您可以在安全告警页面右上角单击前往当前账号攻击分析，进入云安全中心原来的攻击分析页面。更多信息，请参见攻击分析。
事件调查：默认隐藏。
您可以在安全告警页面右上角单击主机和容器安全告警，进入安全告警处理页面后，在告警名称列单击图标，进入事件调查页面。更多信息，请参见查看和处理安全告警。

系统配置 > 多账号安全管理

新增威胁分析监控账号页签。

在该页签可添加需要接入威胁分析与响应的其他阿里云账号。

基本概念

在使用威胁分析与响应的过程中，您可能会碰到一些专业术语。为了帮助您更好地理解这些术语，我们提供了相应的定义和解释供您参考。

概念	解释
处置策略	处置策略是以处置场景为最小单位的告警处置详情。每个处置实体在每个处置场景的处置结果均会生成一条处置策略。
处置任务	处置任务是以作用域为最小单元的告警处置详情。在事件处置过程中，每个处置实体的每个处置场景会根据作用域能拆分成多个处置任务。
处置实体/实体	指关联告警的核心对象，包括IP地址、文件名、进程名称等。
响应编排	指在安全事件发生时，通过自动化工具和流程来组织和管理安全响应措施的一系列动作。这种方式能够帮助组织快速、有效地对安全事件做出反应，减少人工干预，提高处置效率。
剧本（PlayBook）	响应编排的剧本，是由一系列预设的响应策略组成，并可在特定事件触发时自动执行的自动化安全工作流程。编写剧本类似于绘制流程图，包含流程的起始点、判定环节、具体动作和终结点。您可以通过可视化编辑界面自定义每个环节的特定动作，如定义终端管理组件的禁用网络动作。
组件（Component）	与外部系统或服务的接口，如Web应用防火墙、云防火墙、数据库、通知服务等。组件作为外部服务的连接器，本身不处理复杂的逻辑，而是依赖于所连接的系统或服务。在选择组件后，您需要指定对应的资源和动作。组件分为流程编排组件、基础编排组件和安全应用组件。
资源实例（Resource Instance）	指定与组件相关联的具体外部服务详情。例如，对于MySQL组件，如果企业有多个MySQL服务实例，您需要明确要连接的具体数据库实例。
动作（Action）	组件的具体执行能力，一个组件可能包含多种动作。以终端管理软件为例，可能包括如禁用账户、隔离网络、发送通知等动作。

什么是威胁分析与响应