云安全中心的威胁分析与响应CTDR(Cloud Threat Detection and Response)能够集中管理来自多云环境、多账户和多产品的告警和日志数据,并且通过处置策略及时处理安全威胁,帮助您提高安全运维效率,规避潜在风险。
CTDR使用流程简介
威胁分析与响应CTDR(Cloud Threat Detection and Response)处理安全威胁的流程如下:
开通CTDR服务。
接入云产品或安全厂商的日志。
设置并开启预定义或自定义的威胁检测规则,深入分析收集到的日志,识别并还原出完整的攻击链路。
识别安全威胁生成安全告警。
聚合多个安全告警生成安全事件。
根据处置策略(推荐处置策略、自定义处置策略)或者自动化响应编排,联动相关云产品对恶意实体执行封禁、隔离等安全措施。
目前仅阿里云、华为云、腾讯云接入日志可生成安全事件,并完成事件自动处理。其他安全厂商日志仅能形成安全告警,而且不支持自动处理。更多信息可参见接入安全厂商日志。
使用样例
本文以CTDR利用自动化响应编排实现使用WAF自动化封禁攻击IP为例,解决使用Web应用防火墙WAF(Web Application Firewall)封禁攻击IP时,常见误封正常用户、配置复杂等问题。
前提条件
在WAF控制台接入需防护的域名或云产品。本文以WAF接入ECS实例为例,操作示例图如下,详细步骤可参考为ECS开启WAF防护。
在WAF控制台开启日志服务,并为WAF防护对象开启日志投递。操作示例图如下,详细步骤可参考开启WAF日志服务。
操作步骤
步骤一:开通威胁分析与响应按量付费
登录云安全中心控制台,在威胁分析与响应页面,单击开通按量付费。
在服务开通页面,取消开启日志接入策略的勾选,单击立即开通并授权。
接入策略会为您自动接入云安全中心、Web应用防火墙、云防火墙、操作审计的日志,并将根据实际的日志接入量进行计费,请谨慎勾选。本文以单一接入Web应用防火墙,不开启推荐接入策略为例。
开通后自动完成云安全中心服务关联角色的授权,更多信息可参见云安全中心服务关联角色。
步骤二:接入Web应用防火墙日志
若您在步骤一中勾选了开启日志接入策略,CTDR会自动接入Web应用防火墙日志,无需再手动配置,可忽略本步骤。
在云安全中心控制台页面。
配置WAF告警日志。单击已接入账号列,并选择需要接入的账号,点击确定。
配置WAF3.0全量/拦截/拦截和观察日志。
单击已接入账号列,在接入账号设置页面填写相关信息。
本文以WAF选择按量付费模式,所属地域为华东1(杭州)为例。
项目(Project):
wafnew-project-阿里云账号ID-cn-hangzhou。日志库(Logstore):
wafnew-logstore。更多关于WAF日志项目名称和日志库信息,请参考WAF专属的日志项目(Project)和默认日志库(Logstore)。
单击检验有效性,验证绑定的日志库是否正确。验证通过后,单击保存。
步骤三:开启预定义检测规则
在云安全中心控制台页面。
在预定义页签,搜索WAF关联的规则后打开启用状态开关。
步骤四: 配置自动化响应规则
在云安全中心控制台页面。
在自动响应规则页签,单击新增规则。选择事件触发后,参考下图完成自动响应规则的创建。
步骤五:确认自动拦截效果
等待WAF已接入的ECS发生了攻击事件,您可以在安全事件处置页面查看对应的事件。
在处置中心页签,可查看事件命中自动响应规则后,运行剧本对攻击IP下发的处置策略和处置任务。
自动响应规则创建的处置策略
自动响应规则创建的处置任务
在Web应用防火墙控制台,查看CTDR自动新增的攻击IP拦截规则。
下述步骤以WAF 3.0控制台为例介绍操作步骤。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
在Web 核心防护页面自定义规则区域,查看CTDR自动下发的攻击IP拦截规则。
相关文档
- 本页导读
- CTDR使用流程简介
- 使用样例
- 前提条件
- 操作步骤
- 相关文档