处置中心通过将安全响应动作抽象为标准化的处置策略和任务,提供了一个集中化的视图,用于管理和审计所有来源(包括手动执行或自动化规则触发)的响应动作。
核心概念
实体对象:告警或事件中涉及的核心对象。如IP地址、域名、文件哈希、进程、主机、容器、云资源ID(如ECS实例ID)、用户账号等。
处置组件:执行具体安全操作的原子化工具,负责一项独立的、最小化的任务(如封禁IP、隔离文件)。
剧本:由一个或多个处置组件编排而成的自动化安全工作流程,它预设了从触发条件、逻辑判断到执行动作的完整响应路径。
处置策略:代表一次完整的安全响应决策。当一个剧本被触发时,系统会生成一条处置策略,用于明确本次响应对哪个实体(What)、执行哪个剧本(How),以及在哪个范围生效(Where)。
说明处置策略与处置任务是 “一对多” 的关系,一条处置策略可能对应多条处置任务。
处置任务:处置策略在具体目标(如某个云账号、某个资源)上的执行记录。它是一个策略拆分后的具体执行单元,详细记录了单次操作的执行结果(成功/失败)。
功能概述
处置中心数据来源
处置中心的数据(即处置策略与任务)在以下场景中生成:
未开通威胁分析与响应
手动处置事件:使用使用推荐处置策略或运行剧本、加白(自动响应规则)方式手动处理安全事件。具体操作,请参见评估及处理CWPP安全事件。
告警触发剧本:使用AI告警降噪处置功能,处理安全告警。具体操作,请参见AI自动处置告警(AI告警降噪)。
已开通威胁分析与响应
手动处置事件:使用使用推荐处置策略或运行剧本、加白(自动响应规则)方式手动处理安全事件。具体操作,请参见评估及处理CTDR安全事件。
事件触发剧本:根据响应编排预设的自动响应规则(触发方式为事件发生或事件更新,动作为运行剧本)触发剧本执行。具体操作,请参自动响应规则。
告警触发剧本:
使用AI告警降噪处置功能,处理安全告警。
根据响应编排预设的自动响应规则(触发方式为告警发生,动作为运行剧本)触发剧本执行。具体操作,请参自动响应规则。
手动执行剧本:在响应编排中,直接对指定的自定义剧本和预定义剧本,手动执行运行操作。具体操作,请参见剧本配置指南。
数据保存时间
常规情况下,处置策略与处置任务数据保留90天。
当威胁分析与响应服务到期或退订后,依赖该服务生成的相关数据仅保留15天,请务必提前做好数据备份或迁移。
操作指南
查看处置策略
登录云安全中心控制台。
左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
说明如果已开通威胁分析与响应服务,左侧导航栏入口将变更为。
在处置策略页签,查看安全事件处置策略信息。
实体对象:单击目标策略的实体对象名称,可查看该实体的上下文、阿里云威胁情报、相关告警等信息。
关联的来源:单击目标策略的关联的来源列数据,可查看该处置策略关联的告警、安全事件或剧本。
查看任务:在操作列单击查看任务,可进入处置任务页面查看对应处置策略相关联的任务信息。
查看剧本:单击目标策略执行的剧本名称,可查看剧本的详细信息,如运行和发布历史、基本描述、剧本配置流程组件等。
说明需开通威胁分析与响应,才能查看剧本信息。
查看和处理处置任务
查看处置任务
在处置任务页签,可查看如下信息:
实体对象:单击目标任务的实体对象名称,可查看该实体的上下文、阿里云威胁情报、相关告警等信息。
处置组件:目标策略中实际执行的安全威胁清除操作的剧本组件,常见的处置组件请参见附录:常见的安全处置组件。
查看剧本:单击目标策略执行的剧本名称,可查看剧本的详细信息,如运行和发布历史、基本描述、剧本配置流程组件等。
说明需开通威胁分析与响应才能查看剧本信息。
任务状态:若任务状态为失败,可将鼠标悬停在失败状态旁边的
图标,查看失败原因。
处理处置任务
重试:若任务执行失败,可尝试在操作列单击重试,重新执行该任务。
说明若重试按钮置灰,表示该任务不支持重试。
解除封禁:任务执行后,如果有云产品对处置实体IP进行了封禁动作,在确认该IP不再构成威胁或无需继续封禁后,可以在操作列单击解除封禁,解除该IP的封禁。
计费说明
处置中心功能本身不单独计费,其使用资格集成在云安全中心的付费版本中。
包年包月用户:开通任意付费版本即可使用此功能。
按量付费用户:开通任意后付费模块即可使用此功能。
部分处置动作可能会联动其他付费云产品(如WAF、CDN、DDoS高防等),或产生额外的API调用费用,具体计费请参考相应云产品的计费说明。
附录:常见的安全处置组件
组件标识 | 功能说明 |
AegisKillProcess | 云安全中心结束进程组件 |
AegisDeepCleanUp | 云安全中心深度查杀组件 |
AegisQuaraFile | 云安全中心隔离文件组件 |
AegisKillQuara | 云安全中心结束进程并且隔离文件组件 |
AliyunFirewallProcess | 阿里云防火墙封禁入方向IP组件 |
SasOfflineCheck | 云安全中心主机离线排查组件 |
RegionCLBProcess | 阿里云CLB封禁组件 |
RegionALBProcess | 阿里云ALB封禁组件 |
CDNProcess | 阿里云CDN封禁组件 |
AliyunWafBlockIP | 阿里云WAF封禁入方向IP组件 |
SecurityPolicyBlockIP | 阿里云安全组封禁入方向IP组件 |
CfwWhiteListBatch | 阿里云云防火墙加白入方向IP组件 |
WafWhiteListBatch | 阿里云WAF加白IP组件 |
TencentCFWBlockIP | 腾讯云云防火墙封禁高危IP组件 |
HuaWeiRegionCfwBlockIP | 华为云防火墙封禁高危IP组件 |
TencentWafBlockIP | 腾讯云WAF封禁高危IP组件 |
HuaWeiWafBlockIP | 华为云WAF封禁高危IP组件 |
DcdnWafBanIP | DCDN-WAF封禁IP组件 |
AegisStopContainer | 云安全中心停止容器组件 |
AliNetBlockIP | 云安全中心恶意行为防御加黑IP组件 |
AliNetBlockDNS | 云安全中心恶意行为防御加黑域名组件 |
AliNetWhiteIP | 云安全中心恶意行为防御加白IP组件 |
AliNetWhiteDNS | 云安全中心恶意行为防御加白域名组件 |
AliyunCFWBlockDNS | 阿里云防火墙封禁出方向恶意域名组件 |
AliyunDDoSProxyBlockIP | 阿里云DDoS高防封禁IP组件 |
AliyunDDoSProxyWhiteIP | 阿里云DDoS高防加白IP组件 |
AliyunFirewallMonitorIPin | 阿里云防火墙观察模式处置入方向IP组件 |
AliyunFirewallMonitorIPOut | 阿里云防火墙观察模式处置出方向IP组件 |
AliYunWafMonitorIP | 阿里云WAF观察模式处置IP组件 |
常见问题
为什么处置任务执行失败了?
权限不足:执行操作的RAM角色缺少对目标云产品(如WAF、云防火墙)的操作权限。请检查并授予相关权限。
资源不存在:被处置的实体(如主机、容器)已被销毁,或规则已被手动删除。
配额超限:目标云产品的规则数量(如WAF的IP黑名单)已达到上限。
跨账号操作限制:如需对其他云账号下的资源进行操作,需确保两个账号的企业实名认证主体一致,并通过资源目录实现了多账号统一管理。不同认证主体的账号间不支持此操作。
为什么“重试”按钮是灰色的?
部分处置任务因其操作的不可逆性或特殊性,不支持重试。