云安全中心支持自动化攻击溯源,可对攻击进行自动溯源并提供原始数据预览,帮助您快速定位到攻击来源、发现入侵原因,并对弱点进行修复。

背景信息

您可在安全告警处理页面,单击攻击溯源图标,打开溯源页签查看攻击溯源详情,包括入侵原因、攻击请求的详细内容,和为您提供的排查建议。
攻击溯源

限制条件

自动化攻击溯源是通过安全大数据关联计算产出,部分攻击行为可能由于黑客攻击未形成攻击链而无法展示溯源信息,此类情况下可直接查看告警详情。

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏,单击威胁检测 > 安全告警处理
  3. 安全告警处理页面,定位到有溯源图标的告警事件,并单击告警溯源图标攻击溯源图标,会打开该告警事件的溯源页面。
    您可在告警溯源页面查看攻击告警名称、告警类型、影响的资源、攻击源IP、HTTP请求详情和攻击请求的详细内容。
    溯源详情
    在溯源可视图中,您可以查看该攻击溯源事件整个链路中各个节点的信息。单击各个节点,会展示该节点的属性页面,您可以查看该节点的相关信息。
    节点信息

告警溯源案例

结合多种云产品日志,通过大数据分析引擎对数据进行加工、聚合、可视化,形成攻击者的入侵链路图。帮助您在最短时间内定位入侵原因、制定应急决策。适用于云环境的WEB入侵、蠕虫事件、勒索病毒、主动连接恶意下载源等场景的应急响应与溯源。

  • 蠕虫传播事件
    下图描述了蠕虫传播源185.234.216.52通过SSH暴力破解成功登录到主机,并通过bash执行curl指令从远端下载挖矿程序并执行。
    蠕虫传播
  • WEB漏洞入侵事件
    黑客通过202.144.193.8服务器发起攻击,通过WEB漏洞向Linux服务器植入恶意shell脚本和挖矿程序,同时将代码写入计划任务(crond)实现攻击持久化。您可以通过溯源页面的节点信息,清晰地了解这一过程。此外,还可以观察到攻击者的多个IP及恶意下载源URL信息。
    WEB漏洞入侵
    单击图中HTTP攻击节点查看详细信息。流量数据表明入侵者通过Apache Solr未授权访问漏洞控制API接口执行系统命令,您可以针对此漏洞进行快速修复。
    节点查看