云安全中心的Agentic SOC能够集中管理来自多云环境、多账号和多产品的告警与日志数据,通过处置策略及时响应安全威胁,帮助您提升安全运维效率,降低潜在风险。
Agentic SOC使用流程简介
Agentic SOC处理安全威胁的流程如下:
开通Agentic SOC服务。
接入云产品或安全厂商的日志。
设置并开启预定义或自定义的威胁检测规则,深入分析收集的日志,识别并还原完整的攻击链路。
识别安全威胁,生成安全告警。
聚合多个安全告警,生成安全事件。
根据处置策略(推荐处置策略、自定义处置策略)或自动化响应编排,联动相关云产品对恶意实体执行封禁、隔离等安全措施。
目前仅阿里云、华为云、腾讯云接入的日志可生成安全事件并完成事件自动处理。其他安全厂商的日志仅能生成安全告警,不支持自动处理。更多信息请参见接入安全厂商日志。
使用样例
本文以Agentic SOC通过自动化响应编排实现WAF自动封禁攻击IP为例,解决直接使用Web应用防火墙(WAF)封禁攻击IP时常见的误封正常用户、配置复杂等问题。
前提条件
已在WAF控制台接入需要防护的域名或云产品。本文以WAF接入ECS实例为例,详细步骤请参考为ECS实例开启WAF防护。
接入操作流程:在左侧导航栏单击接入管理,选择云产品接入 > 接入页签,在云产品列表中选择ECS。在弹出的接入资产- ECS对话框中,对目标实例单击添加端口,勾选实例复选框,根据需要配置WAF前是否有七层代理和资源组,单击确定完成接入。
已在WAF控制台开启日志服务,并为WAF防护对象开启日志投递。详细步骤请参考开启WAF日志服务。
操作步骤
步骤一:开通Agentic SOC按量付费
登录云安全中心控制台,在Agentic SOC页面,单击开通按量付费。
在服务开通页面,取消勾选开启日志接入策略,单击立即开通并授权。
警告接入策略会自动接入云安全中心、Web应用防火墙、云防火墙、操作审计的日志,并根据实际日志接入量计费,请谨慎勾选。本文以仅接入Web应用防火墙、不开启推荐接入策略为例。
开通后将自动完成云安全中心服务关联角色的授权,更多信息请参见云安全中心服务关联角色。
步骤二:接入Web应用防火墙日志
若在步骤一中勾选了开启日志接入策略,Agentic SOC将自动接入Web应用防火墙日志,无需手动配置,可跳过本步骤。
访问云安全中心控制台-Agentic SOC-管理-接入设置,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
单击Web应用防火墙操作列的接入设置,并开启接入策略。
说明系统将自动发现Web应用防火墙的日志库,并写入对应的数据源。
步骤三:开启预定义检测规则
在云安全中心控制台页面。
在预定义页签,搜索WAF关联的规则,然后打开对应规则的启用状态开关。
例如:在规则名称中搜索
waf,筛选出WAF告警恶意载荷IP关联主机外联IP和WAF告警恶意载荷DNS关联主机请求DNS两条预定义规则,将它们的启用状态开关打开。
步骤四:配置自动化响应规则
在云安全中心控制台页面。
在自动化规则页签,单击新增规则。选择事件触发后,参考以下配置完成自动化规则的创建。
配置示例如下:设置规则名称为
waf_event_handle。在规则策略区域,将特征设置为incident_type,条件设置为in,条件值选择net-attack。在规则动作区域,将动作设置为运行剧本,具体动作设置为使用系统推荐内置剧本,然后单击确定。
步骤五:确认自动拦截效果
等待WAF已接入的ECS发生攻击事件后,在安全事件页面查看对应的事件。
在响应活动页签,查看事件命中自动响应规则后,运行剧本对攻击IP下发的处置策略和处置任务。
查看自动响应规则创建的处置策略
在云安全中心 > 处置中心页面,单击处置策略页签,可查看自动响应规则创建的处置策略。页面顶部统计栏展示处置策略数、有效策略数、失效策略数、处置任务数、封禁中的IP数、隔离中的文件数及已结束的进程数。策略列表包含策略ID、实体对象、实体类型、剧本名称(例如内置阿里云WAF封禁入方向高危IP)、剧本参数、目标账号、策略状态等列。当策略状态显示为有效时,表示自动拦截规则已生效。
查看自动响应规则创建的处置任务
在云安全中心 > 处置中心页面,单击处置任务页签,可查看自动响应规则创建的处置任务列表。列表包含任务ID、实体对象、实体类型、处置组件、任务状态等列。当任务状态显示生效中时,表示高危IP已通过AliYunWafBlockIP组件成功封禁。如需解除封禁,可在操作列单击解除封禁。
在Web应用防火墙控制台,查看Agentic SOC自动新增的攻击IP拦截规则。
以下步骤以WAF 3.0控制台为例。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地或非中国内地)。
在左侧导航栏,选择。
在Web 核心防护页面的自定义规则区域,查看Agentic SOC自动下发的攻击IP拦截规则。
规则模板名称类似
siem封禁ip_template-1,规则条件为IP 属于攻击IP地址,规则动作为拦截,类型为访问控制,状态为开启。