安全审计提供告警模块,您可以自定义告警通知规则与告警历史查看。
功能体验
阿里云Playground提供了云监控2.0主要功能的演示环境,便于您快速了解及体验云监控2.0。
请访问 Playground Demo 演示环境,默认进入工作空间。
选择导航栏日志审计或者在所有功能选择日志审计。
在日志审计导航栏选择、告警规则、威胁狩猎、事件列表,将会提供相关告警功能。
告警概览
登录云监控2.0控制台,单击目标工作空间后,在所有功能找到日志审计并单击,查看告警管理模块。安全审计的告警主要功能包括:
告警历史
告警详情
在告警历史列表对触发的告警进行详情查看,告警详情页展示内容包含:规则ID,触发时间,地域,告警名称,告警级别,告警状态等。
调查
仅使用模板创建的告警拥有调查功能。调查中包含:
风险详情页:展示告警中暴露的风险实体,以及实体详情信息。
溯源图:溯源图展示风险实体的调用拓扑图,支持一级、二级拓扑展示。
告警规则
在告警规则中新建规则时,您可以直接新建规则,也可以选择从模板中创建,其中内置了操作审计、主机审计、容器审计三类模板规则。具体参数配置请参考告警规则创建说明。
仅使用模板创建的告警拥有调查功能。
威胁狩猎
创建告警规则后,如果告警扫描到规则触发,默认支持将告警事件发送到告警事件库中。威胁狩猎基于告警事件库进行分析洞察,现在已经支持对操作审计和主机场景的告警进行威胁狩猎。
使用前提
已在资源中心接入对应资源。
操作审计威胁狩猎
展示基本的操作审计场景下的告警整体态势、例如告警触发事件数、告警规则数、事件严重分布。以及一些操作审计侧典型场景的告警,如 RAM 权限、行踪、 安全组、登录失败等。
主机场景威胁狩猎
展示基本的主机场景下的告警整体态势、例如告警触发事件数、告警规则数、事件严重分布。以及一些主机侧典型场景的告警,如暴力破解、身份认证等。
事件列表
操作审计、ECS 审计日志或 VPC 流日志,接入其中任一项都会自动创建告警事件库。告警规则触发后,默认把告警详情写入告警事件库中。具体日志内容及字段描述如下:
场景应用
日志审计 2.0 在实际业务中能够解决哪些具体的安全痛点?以下是四个核心应用场景的解析。
容器运行时:深入容器内部的威胁感知
数据源来自于基于 eBPF采集的容器运行时日志。
在容器化环境中,应用漏洞(如各类RCE漏洞)可能导致容器内部被执行未授权命令,此类行为难以通过传统的流量监控发现。以Ollama 0.1.34 之前版本暴露未经认证的本地REST API为例,它可被滥用写入任意路径,甚至覆盖系统文件。
开启告警规则:创建告警规则时选择内置的容器审计模板,开启『容器:不受信任进程读取敏感文件』,监控对非预期路径(如 /etc/passwd、/root/.ssh/、/etc/shadow等)写文件操作,确保此类事件能够被及时发现。
告警调查--进程链分析:告警触发时通过对进程事件以及主机文件操作建模,管理员可以从风险进程顺藤摸瓜,找到其上下游调用关系,并明确风险根因。
告警调查--全链溯源:风险实体分析提供实体级别全链路溯源,通过进程链路找到风险进程后,将进程所属的容器建立 K8s 与Pod 实体关联,攻击路径被清晰地还原为“异常进程-> Pod -> K8s”,从而快速定位存在漏洞的工作负载。
主机暴力破解:系统登录的风险洞察
主机是企业IT资产的核心,暴力破解是常见的攻击手段。 日志审计通过Loongcollector采集主机系统日志,开启针对主机暴力破解的内置告警规则,能够有效地识别和响应主机暴力破解事件。
全局攻防态势:
通过主机猎多维度的仪表盘,聚合展示攻击源(国家/运营商)、攻击频率趋势,帮助管理员掌握整体的安全水位。
入侵影响面评估:
一旦检测到暴力破解告警,系统会自动构建从底层主机到云端 ECS 的关联视图,并展示 VPC、安全组等周边资产。这种“由点及面”的视角,协助运维人员在发现攻击的同时,迅速判断内网横向移动的风险边界,制定更精准的封堵策略。