云安全中心威胁分析与响应(CTDR)是一款云原生安全信息和事件管理解决方案,集中处理来自多云环境、多账户和多产品的告警和日志数据,提供日志标准化、告警生成、聚合分析、事件响应编排等能力,帮助您快速响应并处置安全威胁。
功能介绍
产品核心处理流程
威胁分析与响应通过集成多云、多账号、多产品及不同安全厂商的日志,利用预定义和自定义的威胁检测规则分析日志数据,识别并还原完整的攻击链路,生成安全事件。检测到威胁时,系统可启动自动化响应编排,联动云产品对恶意实体执行封禁、隔离等措施,实现快速处置。
使用流程
1. 购买并开通CTDR
CTDR支持以包年包月和按量付费的方式开通服务。本文以包年包月购买方式为例介绍购买和开通的具体步骤。按量付费方式可参考步骤一:开通Agentic SOC按量付费,CTDR的计费说明,请参见计费说明。
2. 云产品接入
若您使用了推荐日志接入策略,CTDR会自动接入当前阿里云账号的云安全中心、Web应用防火墙、云防火墙和操作审计产品的日志,无需手动配置。接入的数据源及支持的安全能力如下表所示。
仅当您购买了云安全中心防病毒版、高级版、企业版或旗舰版时,系统才会自动接入操作审计事件日志。未购买付费版本时不会自动接入。
若您未开启推荐日志接入策略或需要接入第三方云产品日志,请参见接入云产品日志。
序号 | 阿里云产品 | 数据源 | 标准化日志分类 | 支持的安全能力 |
1 | 云安全中心 | 安全告警日志 | 安全日志-告警日志 |
|
2 | 漏洞日志 | 安全日志-漏洞日志 | 事件调查溯源 | |
3 | 基线日志 | 安全日志-主机基线日志 | 事件调查溯源 | |
4 | 登录流水日志 | 登录日志-主机登录日志 | 事件调查溯源 | |
6 | 文件读写日志 | 主机日志-进程文件读写日志 | 事件调查溯源 | |
7 | 进程启动日志 | 主机日志-进程启动日志 |
| |
8 | DNS请求日志 | 主机日志-进程请求DNS日志 |
| |
9 | 网络连接日志 | 主机日志-进程网络外联日志 |
| |
10 | Web应用防火墙 | WAF告警日志 | 安全日志-Web应用防火墙告警日志 |
|
11 | WAF2.0全量/拦截/拦截和观察日志 | 网络日志-HTTP日志 | 预定义分析规则 | |
12 | WAF3.0全量/拦截/拦截和观察日志 | 网络日志-HTTP日志 | 预定义分析规则 | |
13 | 云防火墙 | 云防火墙实时告警日志 | 安全日志-防火墙告警日志 |
|
14 | 操作审计 | 操作审计事件日志 | 审计日志-云平台操作审计日志 | 事件调查溯源 |
3. 开启日志投递(可选)
已接入CTDR的日志可通过日志管理功能进行存储。如果您有日志分析、溯源或等保合规的需求,建议按照以下步骤开启所需日志类型的投递。只有开启日志投递后,才可以使用CTDR日志管理、规则管理(自定义规则)、仪表板功能。更多信息,请参见日志管理。
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
在产品接入页面右上角,单击日志管理设置。
在日志投递管理区域,打开需要投递的日志类型投递到热数据/启停时间列下的开关。
您可以选中多个日志类型后,单击批量投递。
在日志管理页面,打开目标日志类型右侧的开关,也可以直接开启该日志类型到存储空间的投递。
4. 管理威胁检测规则
威胁分析与响应通过内置预定义检测规则和自定义检测规则分析已接入的日志,识别威胁攻击链路和时间线,并生成安全事件报告。
预定义规则
CTDR默认会启用所有预定义规则。预定义规则仅在指定的日志范围内进行威胁检测。您可以在页面查看和调整预定义规则的启用状态。
该页面包含预定义和数据集两个页签,支持按威胁等级(高危、中危、低危)筛选规则。规则列表展示规则ID、规则名称、规则类型、威胁等级、威胁类型、ATT&CK映射、事件生成方式及更新时间等信息,并支持批量启用或批量关闭操作。
自定义规则
5. 生成安全告警
当威胁攻击命中开启的预定义规则或自定义规则,会生成对应的安全告警信息。您可以在页面聚合分析告警和自定义分析告警页签,查看预定义规则和自定义规则生成的告警。
该页面除 聚合分析告警 和 自定义分析告警 页签外,还包含 云工作负载保护平台(CWPP)、防火墙(Firewall)、Web应用防火墙(WAF)、其他 页签。告警列表可按严重程度(紧急、可疑、提醒)筛选,表格中展示告警名称、告警等级、防御动作、受影响资产、恶意实体等信息。
6. 生成并处理安全事件
安全事件生成机制
安全事件由预定义规则或自定义规则将关联的多个安全告警聚合而成,便于您快速识别并响应安全威胁。安全事件根据告警产生设备分为以下两类:
网络侧:CTDR聚焦于黑客的探测行为(如扫描或踩点),将网络侧产生的告警通过预定义规则生成事件,以防止攻击者进一步探测用户信息。
主机侧:CTDR通过图计算技术,将主机侧具有关联性的告警(如相同MD5值或父进程ID)聚合生成事件,帮助用户快速定位攻击入口并响应。
并非所有告警都会生成安全事件,只有满足以下条件的告警才会触发事件生成:
主机侧的告警都会生成安全事件;网络侧的告警只有命中预定义规则或自定义规则的事件聚合策略,对应的告警才会生成安全事件。
如果设置了事件加白规则,则命中加白规则的告警不会生成事件。
如果仅开启了预定义规则,只有命中预定义规则中的图计算和专家规则的告警才会生成事件。
在规则管理页面选择具体规则后,右侧规则详情面板的事件生成设置区域中,生成的告警转化为事件配置为是,事件生成方式为图计算,即利用图关联技术对拥有相同资产、IOC的告警关联聚合生成事件。
查看安全事件
在页面,单击目标事件操作列的详情,可查看事件详情、时间线、安全告警、关联实体、智能助手说明等信息,据此判断事件是否需要处理。更多信息,请参见安全事件。
区域 | 说明 |
概览区域 | 展示事件的基本信息及ATT&CK攻击阶段,包括受影响资产数、生成方式、关联告警数、检测规则、关联账号、发生时间、告警来源等。 |
时间线页签 | 您可以在该页签查看形成该安全事件告警攻击时间线和溯源图。单击全屏模式,可全屏查看该事件的攻击时间线和溯源图。在全屏模式下,单击对应告警图标,可以查看告警的详细信息。在某些情况下,您可以在溯源图中查看到具体的攻击入侵点。 |
安全告警页签 | 查看聚合成该事件的安全告警列表。通过多维度的告警统计数据(包括告警数量、防御措施、发生时间等),判断攻击方法、攻击所处阶段并决定处理方式。 |
实体页签 | 展示该事件涉及的实体对象,支持的实体类型包括主机、文件、进程、IP地址和主机账户等。可查看IP地址实体的基础信息、阿里云威胁情报、近30天关联的事件、近30天关联的告警和关联的处置任务,据此判断哪些是恶意实体,哪些是受攻击影响的资产。 |
响应活动页签 | 展示对该事件响应和处置的详细记录。 |
安全AI助手区域 | 由云安全中心AI大模型提供的对话能力,提供安全事件总结、相关IP的威胁情报、影响资产详情等信息。 |
处置安全事件
云安全中心支持通过使用推荐处置策略手动处理或自动响应编排自动处理安全事件。
手动处置安全事件:通过人工审核安全事件,根据严重性和实际情况采取相应措施。适用于复杂度高、需要专业判断的安全事件,以及新型未知威胁。
自动处置安全事件:通过预设的剧本和规则,系统自动执行响应措施,如隔离受感染的主机、封锁可疑IP地址等。适用于已知且定义明确的安全事件,或需要快速响应的低复杂度威胁。
手动处置安全事件
CTDR依据恶意实体的检测来源或可防御设备,提供一键创建推荐处置策略的功能。该功能自动生成处置任务并运行处置剧本,联动阿里云多种安全产品快速处置安全事件,例如通过WAF封禁入方向高危IP、通过云安全中心隔离高危文件等。
下表介绍推荐处置策略中支持处置的实体,以及处置剧本联动的云产品的具体模块。
实体类型 | 推荐处置剧本 | 联动产品 | 联动产品模块 |
IP地址 | 内置阿里云WAF封禁入方向高危IP | 阿里云Web应用防火墙 | |
内置阿里云防火墙封禁出方向高危IP | 阿里云云防火墙 | ||
内置阿里云防火墙封禁入方向高危IP | |||
文件 | 内置阿里云云安全中心隔离高危文件 | 阿里云云安全中心 | |
进程 | 内置阿里云云安全中心结束高危进程 | ||
内置阿里云云安全中心通过CMD结束高危进程 | |||
内置阿里云云安全中心结束并隔离高危进程 | |||
内置阿里云云安全中心通过MD5结束高危进程 | |||
容器 | 内置阿里云云安全中心停止高危容器 | ||
主机 | 内置阿里云安全组封禁入方向高危IP | 阿里云云服务器ECS安全组 | |
内置阿里云安全组禁止主机全部出方向流量 | |||
域名 | 内置阿里云云安全中心恶意行为防御封禁恶意域名 | 阿里云云安全中心 |
操作步骤
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
在安全事件页面,在目标事件的操作列单击。
在面板,选中需处置的恶意实体,并单击确定,并更新事件状态。
支持修改推荐策略生效的实体和动作时效。您可以在使用推荐处置策略面板,单击对应实体操作列的编辑,在编辑策略面板,修改封禁规则下发的目标账号、动作时效等参数。面板左侧可按实体类型(IP地址、文件、主机进程)筛选,右侧表格包含处置实体、运行剧本、剧本参数、目标账号UID、动作时效等列。此处关联的运行剧本为内置阿里云WAF封禁入方向高危IP,动作时效为7天。
在更新事件状态对话框,选择事件状态为处理中或已处理,单击确定。
处理中:表示除当前处置操作外,还有其他后续动作,如止血、溯源、修复漏洞等。
已处理:表示当前处置操作已完成,无其他后续处置动作。
完成该步骤操作后,CTDR将自动创建处置策略并执行处置任务,如果处置任务执行失败,事件状态将更新为处理失败。否则,事件状态将更新为您在此处设置的状态。
在该事件详情的页签,可以查看CTDR自动生成的推荐处置策略详情。
处置策略列表包含策略ID、实体对象、实体类型、剧本/剧本ID、剧本参数、目标账号、策略状态和操作列。例如,关联剧本为内置阿里云WAF批量封禁入方向IP的策略,其策略状态显示为有效。单击策略详情或查看任务可进一步查看对应策略的执行信息。
自动化处置安全事件
自动响应规则可在触发告警或事件时自动执行预定义的响应动作,例如隔离恶意文件、中断网络连接等。新增自动响应规则后,系统会自动匹配新增的安全事件,匹配成功后立即执行预设的剧本,加快威胁响应速度。更多信息请参见响应规则。
在配置自动响应规则时,如需安全技术专家的专业指导,建议您购买安全管家企业版服务。更多信息,请参见安全管家服务。
以下以自动响应规则处理WAF侧网络攻击事件并下发IP封禁为例。
前提条件
已将阿里云WAF告警日志接入CTDR。接入云产品日志的具体操作,请参见接入阿里云云产品日志。
已完成与业务相关请求的白名单配置,以避免业务请求被拦截。具体操作,请参见安全事件。
操作步骤
在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
在响应规则页面自动化规则页签,单击新增规则。
在创建自动化规则面板,配置响应规则,并单击确定。
配置以下参数:规则名称设置为
waf_event_handle,执行方式选择事件触发。在规则策略中,特征选择incident_type,条件选择in,条件值设置为net-attack。在规则动作中,动作选择运行剧本,具体动作选择使用系统推荐内置剧本。在响应规则页面自动化规则页签,打开已创建规则启用状态列的开关启用规则。
等待WAF已接入域名有攻击事件发生。已接入WAF的域名被攻击后,您可以在安全事件页面查看对应的事件。
在响应活动页签,可查看事件命中自动响应规则后,运行剧本对攻击IP下发的处置策略和处置任务。
自动响应规则创建的处置策略
在云安全中心控制台左侧导航栏选择处置中心,单击处置策略页签,可查看自动响应规则创建的处置策略列表。页面顶部展示处置策略数、有效策略数、失效策略数、处置任务数等统计信息,表格列包括策略ID、实体对象、实体类型、剧本/剧本ID、剧本参数、目标账号、策略状态和操作。
自动响应规则创建的处置任务
在处置中心页面选择处置任务页签,可查看任务列表,包含任务ID、实体对象、实体类型、处置组件、剧本/剧本ID、剧本参数、任务状态等列。对于状态为生效中的任务,可在操作列执行重试或解除封禁。
在Web应用防火墙控制台,查看CTDR自动新增的攻击IP拦截规则。
下述步骤以WAF 3.0控制台为例介绍操作步骤。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
在Web 核心防护页面自定义规则区域,查看CTDR自动下发的攻击IP拦截规则。
规则以模板形式组织,展开模板可查看子规则详情,包括规则条件(IP 属于 指定攻击 IP 地址)、规则类型(访问控制)及规则动作等信息。