AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 云安全中心 操作指南 威胁分析与响应 安全事件处置 评估及处理CTDR安全事件

评估及处理安全事件-CTDR(威胁分析与响应)

更新时间:
产品详情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

处置安全事件需要先进行影响面评估、攻击面分析,识别误报并及时止血。可对安全事件使用推荐处置策略、更新时间状态、加白、运行剧本等操作,保障的系统安全及正常运行。

安全事件处理流程图

image

安全事件处置评估

在处理安全事件前,需对事件进行影响面评估、攻击面分析,识别误报,避免影响系统的正常运行。可通过安全事件的详情页,获取事件信息以此辅助进行判断。

进入事件详情页

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择威胁分析与响应 > 安全事件处置

  3. 选择需查看的事件的发生时间范围,定位至目标安全事件。

    重要

    • 安全事件处置页面仅支持查看180天内的事件。

    • 可在系统设置 > 通知设置开启事件相关通知,可根据收到的事件相关信息,如事件名称快速定位目标事件。

  4. 单击操作列详情按钮,进入事件详情页。

评估安全事件方法及示例

评估事件可通过安全AI助手事件概览信息、时间线信息,安全告警实体信息来评估事件的紧急度、覆盖度、是否误报。

安全AI助手

提供大模型对话能力,可以帮助获取安全事件总结、事件关联的所有的实体、事件处置建议等事件相关信息,辅助进行事件判断。

评估示例

image

如上图AI给出的综合总结,本次安全事件已经被安全中心成功拦截,且处于早期探测阶段,但存在潜在风险,需要持续监控,不属于误报。

概览区域

介绍该事件的基本信息及ATT&CK攻击阶段。可根据该区域受影响资产数、关联告警数、发生时间、告警来源等数据信息,来评估该安全事件的是否需要处理。

评估示例

  • 受影响资产数:若受影响资产数量较多,且涉及核心业务资产,如数据库服务器、应用服务器等,说明事件可能造成较大影响,需要优先处理。

  • 关联告警数:关联告警数量越多,意味着事件的波及范围可能越广,潜在风险越大。

  • 发生时间:近期发生的事件,由于可能仍在持续造成影响,相比历史事件更需要及时处理。

  • 告警来源:不同来源的告警可信度和严重程度可能不同,来自权威检测模块的告警,如专门的病毒查杀模块,其对应的事件危险性越高。

时间线

在该页签查看攻击时间线和溯源图。通过大数据分析引擎对数据进行加工、聚合、可视化,形成的事件发生链路图,在最短的时间内定位事件发生原因并制定事件处理策略。查看详情步骤如下:

  1. 点击image进入全屏模式;

  2. 单击事件中的节点,查看对应节点的详细信息。

可结合时间线来评估该安全事件的是否需要处理的,评估示例如下

  • 若时间线显示在短时间内,从初始的一个小范围试探性攻击告警,迅速演变为多个不同类型且关联紧密的攻击告警,攻击节奏不断加快,涉及的资产范围也在持续扩大,那么该安全事件危险性就很高,建议立即处理。

  • 如果时间线中相关告警在较长时间内没有新增,且攻击行为没有进一步扩散的迹象,处理优先级相对可以降低。

安全告警

在该页签查看聚合成该事件的所有安全告警列表。通过多维度的告警统计数据(包括告警数量、防御措施、发生时间等),获取更多信息,以判断该攻击使用的方法、攻击所处阶段并决定相应的处理方案,评估示例如下

  • 若同一类型或相关联的告警数量较多,可能意味着攻击规模较大或威胁较为严重。

  • 防御措施方面,了解已采取的防御手段是否有效阻挡攻击,若防御措施失效或不足以应对,事件处理的紧迫性就会提升。

  • 近期安全告警发生时间集中某一个时间段,可能意味着在此时间范围内,攻击正处于活跃阶段。

实体

展示该事件中抽取到的实体对象,支持展示的实体类型包括主机、文件、进程、IP地址和主机账户等。可以通过以下维度查看并管理实体:

  • 全部实体:展示该事件中抽取到的所有实体。支持查看最近30天关联事件数、关联告警数、关联处置任务数、运行剧本等操作。

  • 受影响资产:展示受该事件影响的资产,方便对资产受影响面进行快速评估。

结合影响的实体,来评估该安全事件的是否需要处理的,评估示例如下

  • 在实体详情查看IP地址实体的基础信息、阿里云威胁情报、近30天关联的事件、近30天关联的告警和关联的处置任务。若数量很多,可能表明攻击者正在持续利用某个IP进行攻击,需要针对这个IP做处理,例如封禁IP。

  • 受影响资产页签,如果多个资产在同一时间段内遭受来自同一IP的攻击,这可能表明存在针对特定IP的攻击行为,需要针对这个IP做处理,例如封禁IP。

响应活动

响应活动全面记录了事件调查、风险分析及响应处置的全过程,并提供关键处置策略和任务的管理入口,以便团队内人员在事中协作时共享调查过程和处理信息。事后对事件活动过程进行复盘总结,积累宝贵经验。

处理安全事件

处理安全事件主要是处理恶意实体以及关联的告警,处理完实体和告警后可更新事件状态。

使用推荐处置策略(推荐)

云安全中心基于阿里云安全专家经验总结出的事件处置方法,统称为推荐处置策略。使用推荐处置策略处理安全事件中的恶意实体后,可同步变更事件状态及事件关联的告警。

说明

并非所有的实体都支持使用推荐处置策略,若使用推荐处置策略面板为空,则表示当前实体没有内置的处置策略。

操作影响

  • 联动阿里云云产品进行事件响应,对恶意实体进行处理,例如封禁IP等。

  • 使用推荐处置策略变更事件状态为已处理时,系统会将该事件关联的所有未处理告警的状态统一更新为已在安全事件处置,并在告警详情备注了安全事件操作相关信息。此后,新产生的告警将不再关联至当前安全事件,而是生成新的安全事件。

    重要

    CWPP“精准防御”类告警,告警状态默认为“已处理”(仅防御不通知),安全事件状态更新不会影响此类告警状态。

  • 使用推荐处置策略变更事件状态为处理中,关联的告警状态不变,仍支持后续告警关联至当前事件。

操作步骤

  1. 进入事件详情页,在实体页签单击使用推荐处置策略按钮。

    说明

    安全事件处置首页,针对目标事件,单击操作响应下拉选项,也可选择使用推荐处置策略

  2. 使用推荐处置策略面板,选中需处置的恶意实体。

  3. 修改处置策略(可选):单击对应实体操作列的编辑,在编辑策略面板,修改封禁规则下发的目标账号、动作时效等参数。

    • 动作实效:该处置策略生效的时间,超过时间将自动失效。

    • 目标账户:当前账户及可管理的成员账号,如何管理成员账号请参见多账号安全管理

  4. 单击确定,并更新事件状态。在更新事件状态对话框,选择事件状态处理中已处理,单击确定

    重要

    完成该步骤操作后,云安全中心将自动创建处置策略并执行处置任务,如果处置任务执行失败,事件状态将更新为处理失败。否则,事件状态将更新为在此处设置的状态。

    • 处理中:表示除当前的处置操作外,还存在其他与事件处置相关的动作,例如止血、溯源、修复漏洞等。

    • 已处理:除了当前的处置操作之外,没有其他后续的处置相关动作。影响如下:

      • 更新关联告警状态为“已在安全事件处置”。

      • 后续告警会生成新的安全事件,不再关联至当前事件。

加白名单

通过安全事件处置对安全告警进行加白处理,包含事件加白告警加白两种方式,系统面对正常程序告警,如对外异常 TCP 发包可疑进程实为正常业务交互、疑似扫描行为实为正常网络检测等,加白名单操作能有效避免云安全中心对正常程序或行为重复告警。事件加白和告警加白的区别说明如下表:

差异点

事件加白

告警加白

支持处理的告警

所有告警

云工作负载(CWPP)告警

操作影响

  • 告警状态:无影响。

  • 告警聚合:符合加白规则的告警,不再关联至当前事件。

  • 告警状态

    • 当前告警状态变为手动加白

    • 后续符合加白规则的告警,告警状态自动变为自动加白,进入已处理告警列表中,不再进行告警通知。

  • 告警聚合:符合加白规则的告警,不再关联至当前事件。

规则字段来源

  • 告警名称:聚合当前事件所有的关联的告警,按告警名称去重。

  • 对象:告警抽取出来的实体对应的字段。

    说明

    • 实体说明请参见实体

    • 实体字段可在实体详情页的基础信息中查看。

当前安全告警信息字段。例如告警生成的规则、标签、镜像名等。

说明

可在告警详情页更多信息区域查看。

告警加白

告警加白影响

警告

告警加白后相同的或符合加白规则的告警不再推送告警通知,请谨慎操作。

  • 对当前告警

    • 本次告警变为 “已处理”,告警状态是手动加白。​

    • 当相同告警再次发生,不会再生成告警数据,但会更新本次告警的最新发生时间。

      什么是相同告警?

      相同告警是指告警特征高度一致的安全威胁。例如:

      • 病毒类的告警:相同的资产+相同的病毒文件路径+相同的病毒文件MD5。

      • 异常登录:相同的资产+相同的登录IP。

  • 对后续告警

    • 若设置了特定加白规则,若云安全中心后续不会再将符合该白名单规则的告警关联至当前事件。

    • 符合定制加白规则的告警再次发生时,该告警将自动进入已处理列表中,状态为自动加白,并且不再进行告警通知。

  • 其他告警:加白规则仅对设置的告警名称且符合条件的告警生效,不影响其他未设置规则的告警。​

操作步骤

  1. 进入事件详情页,在安全告警页签选择需要处理的安全告警,单击操作列的告警加白

  2. 新建告警加白规则(可选):可单击+新增规则,配置多条加白规则。

    重要

    • 多条规则之间是“and”的关系,即满足所有条件规则才生效。

    • 配置规则时要保证精准性,避免范围过宽。比如设置 “路径包含:/data/” 可能误将其他敏感子目录纳入白名单,增加安全风险。​

    • 建议组合使用叠加多个条件设置规则,如 “路径包含:/app/” 且 “进程名:test.exe”,实现更精细的白名单管理。​

    每一条规则从左到右一共4个配置框,说明如下:

    1. 告警信息字段:可在详情页的更多信息中,查看当前告警支持哪些告警信息字段。

    2. 条件类型:支持正则匹配、大于、等于、小于、包含等操作。部分规则说明如下:

      • 正则表达式:通过正则表达式可精准匹配特定模式的内容。例如,要对 “/data/app/logs/” 文件夹下所有内容加白,可设置规则 “路径匹配正则:^/data/app/logs/.$”,能匹配该文件夹及子目录下的所有文件或进程。​

      • 包含关键词:设置 “路径包含:D:\programs\test\” 的规则,所有路径中包含该文件夹的事件都会被纳入白名单。

    3. 条件值:支持常量、正则表达式。

    4. 适用资产:

      • 全部资产:对新增资产及已经接入的所有资产生效。

      • 仅针对当前资产:仅对当前告警涉及的资产有效。

  3. 单击确定

事件加白

事件加白影响

  • 对当前告警:无影响。​

  • 对后续告警

    • 云安全中心后续不会再将符合该白名单规则的告警关联至当前事件。

      说明

      若当前事件关联的告警超过一万条或者事件状态变更成了已处理,符合加白规则的告警也不会产生新的安全事件。

    • 不影响后续相同告警的产生,仍会发送告警通知。可在检测响应安全告警 的未处理告警列表中查看

      说明

      若您购买了威胁分析与响应(CTDR)服务,可在威胁分析与响应 > 安全告警查看告警

  • 其他告警:加白规则仅对设置的告警名称且符合条件的告警生效,不影响其他未设置规则的告警。​

操作步骤

  1. 进入事件详情页,单击右上角事件响应加白按钮。或在安全告警页签,单击安全告警操作列的事件加白image

  2. 新增策略组:在事件加白操作页,单击+新建策略组

    重要

    支持创建多个策略组,策略组之间以“”关系生效。

  3. 新增策略:默认新增一个策略组合和一个策略,可单击+新建策略,配置多条加白策略。

    重要

    • 同一策略组的不同策略以“”关系生效。

    • 配置策略要保证精准性,避免范围过宽。比如设置 “主机名包含:test” 可能误将其他主机录纳入白名单,增加安全风险。​

    • 建议组合使用叠加多个策略,如 “主机包含:test” 且 “主机ID:111”,实现更精细的白名单管理。​

    规则内容说明如下:

    • 告警名称:聚合当前事件所有的关联的告警,按告警名称去重。

    • 对象:选择告警名称后,自动拉取由当前告警抽取的实体信息字段,实体说明请参见实体

      说明

      实体字段可在实体详情页的基础信息中查看。

    • 条件:支持正则匹配、大于、等于、小于、包含等操作。常见规则说明如下:

      • 正则表达式:通过正则表达式可精准匹配特定模式的内容。例如,要对 “/data/app/logs/” 文件夹下所有内容加白,可设置规则 “路径匹配正则:^/data/app/logs/.$”,能匹配该文件夹及子目录下的所有文件或进程。​

      • 包含关键词:设置 “主机包含:test” 的规则,所有路径中包含该文件夹的事件都会被纳入白名单。

  4. 单击添加策略

    警告

    若直接退出,规则内容将不会保存。

如何取消事件加白?

若想要取消事件加白策略,允许后续告警继续关联或产生新事件。请参考如下步骤:

  1. 登录云安全中心控制台,在左侧导航栏,选择检测响应 > 安全事件处置 。

    说明

    若购买了威胁分析与响应(CTDR)服务,请在左侧导航栏,选择威胁分析与响应 > 安全事件处置

  2. 请在安全事件处置页,单击右上角的事件加白设置。定位至目标策略,单击操作列的删除,即可取消事件加白策略。image

自动处理安全事件

若想实现自动化处理安全事件,可使用威胁分析与响应提供的响应编排功能,通过配置剧本和自动化响应规则,自动批量处理安全威胁事件。具体操作,请参见响应编排

安全加固方案(预防告警)

  • 升级云安全中心版本

    企业版和旗舰版支持病毒自动隔离(即病毒自动查杀)功能为您提供精准防御能力,目前已支持主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型,支持的安全检测项也更多。

  • 设置服务器安全组

    常见的安全组设置如下若是阿里云 ECS服务器可参见管理安全组进行操作。

    • 只允许指定的IP地址进行3389(远程桌面)、22(SSH)登录,避免服务器管理端口被黑客扫描或爆破。

    • 在安全组中,只放行必要的业务端口(例如80、443),其他无关端口不要放行。

    • 对于数据库端口(例如1433、3306、6379等),应设置为只允许指定的IP来连接,如无必要,建议不要对外开放。

  • 设置复杂服务器密码

    服务器密码设置尽量复杂,不要过于简单(包含大小写字母+数字+特殊符号,密码长度至少8位以上) 。

  • 升级软件

    应用软件要经常升级到新版本,不要用老版本的软件。

  • 创建磁盘快照

    定期对重要服务器做磁盘快照。这样当出现数据丢失、误删数据、数据被黑客篡改(比如勒索病毒)等意外事件时,可以通过磁盘快照恢复您的数据。 若是阿里云 ECS服务器可参见创建自动快照策略进行操作。

  • 及时修复漏洞

    可使用云安全中心漏洞修复功能及时修补系统高危漏洞和应用漏洞(注意:修补漏洞前先做快照备份)。

  • 重置服务器系统(谨慎选择)

    如果病毒入侵较深,关联到系统底层组件,强烈建议您在备份重要数据后,重置服务器的系统。具体操作步骤如下:

    1. 创建快照备份服务器上的重要数据。具体操作,请参见创建快照

    2. 初始化服务器的操作系统。具体操作,请参见重新初始化系统盘(重置操作系统)

    3. 使用快照生成云盘。具体操作,请参见使用快照创建数据盘

    4. 挂载云盘到重装系统后的服务器上。具体操作,请参见挂载数据盘

  • 更多安全防护建议,请您查看文档操作系统安全加固

更多操作

导出安全事件详情

可以将安全事件详情以Excel表格形式导出到本地,便于跨部门协作处理安全事件,并提高内部信息共享与事件追踪的效率。

最多支持导出1,000条安全事件记录。导出的文件包含3个标签页,分别为安全事件记录列表、安全事件涉及的资产列表、安全事件涉及的实体列表。

  1. (可选)在安全事件处置列表页设置事件风险等级、状态、发生时间等过滤条件。

  2. 勾选需要下载的安全事件,单击安全事件列表右上角image.png图标。

  3. 待文件导出完成后,单击下载,将文件下载到本地。

相关文档

上一篇:CTDR安全事件概述下一篇:响应编排