文档

什么是威胁分析与响应

更新时间:

在日益复杂的网络安全环境中,组织和企业面临着如何在众多分散的系统中有效追踪和管理大量的安全告警和日志的挑战。通过云安全中心的威胁分析与响应服务,您将能够集中处理来自多云环境、多账户和多产品的告警和日志数据,提高安全运维效率,加强对潜在风险的响应能力。

功能介绍

工作原理

威胁分析与响应是一款云原生安全信息和事件管理解决方案,主要提供日志采集、告警生成、聚合分析、事件响应编排等能力。

威胁分析与响应通过集成多云、多账号和多产品的日志,利用预定义和自定义的安全检测规则,深入分析收集到的日志,从而识别并构建出完整的攻击链路,并形成详细的安全事件。在检测到安全威胁时,威胁分析与响应能够启动自动化响应编排,联动相关云产品对威胁源执行封禁、隔离等安全措施,以实现快速且有效的安全事件处置。

image

功能特性

  • 标准化数据采集

    采集跨云平台、跨产品、跨账号的安全告警日志、网络日志、系统日志、应用日志等,对数据进行标准化、上下文增强。

  • 多维度威胁检测

    基于多源数据关联分析、AI图计算推理、以及实时更新的威胁情报等威胁发现手段,强化南向安全设备的单点威胁检测能力。预定义跨数据源威胁检测规则,提供四大类型事件分析模型:专家规则、图计算、告警透传、同类聚合。

  • 高效的事件调查

    聚合相关告警生成安全事件,自动还原攻击时间线和路径,安全事件对告警收敛率达万分之一,丰富事件调查上下文,加速告警、事件处置研判效率。

  • 自动化响应编排

    通过自动响应规则和编排剧本,联动多产品自动化处置恶意实体,如IP、文件、进程等,将应急响应经验流程化、常态化、自动化。

支持接入的云产品和日志

威胁分析与响应支持接入20+云产品、50+日志类型。具体支持的云产品和日志信息如下表所示:

云厂商

产品名称

日志类型

阿里云

云安全中心(Security Center)

  • 云安全中心告警日志、云安全中心配置检查日志、漏洞日志、基线日志

  • 登录流水日志、网络连接日志、进程启动日志、文件读写日志、主机登录失败日志、Mysql/FTP登录失败日志

  • 账号快照日志、网络快照日志、账号快照日志、进程快照日志、端口快照日志

  • 互联网HTTP日志、互联网Session日志、互联网DNS日志、DNS解析日志

Web 应用防火墙 WAF(Web Application Firewall)

WAF告警日志、WAF流日志、WAF 3.0流日志

云防火墙(Cloud Firewall)

云防火墙告警日志、云防火墙流日志

DDoS 防护(Anti-DDoS)

DDoS新BGP高防流日志、DDoS高防流日志、DDoS原生防护日志

运维安全中心(堡垒机)(Bastionhost)

堡垒机日志

CDN

CDN流日志、CDN WAF流日志

API 网关(API Gateway)

API网关日志

容器服务 Kubernetes 版 ACK(Container Service for Kubernetes)

K8s审计日志

云原生数据库 PolarDB

PolarDB-X 1.0审计日志、PolarDB-X 2.0审计日志

云数据库 MongoDB 版

MongoDB运行日志、MongoDB审计日志

云数据库 RDS(Relational Database Service)

RDS审计日志

专有网络 VPC(Virtual Private Cloud)

VPC流日志

弹性公网 IP EIP(Elastic IP Address)

弹性网卡流日志

负载均衡 SLB(Server Load Balancer)

CLB 7层日志、ALB流日志

对象存储 OSS(Object Storage Service)

OSS批量删除日志、OSS计量日志、OSS流日志

文件存储 NAS(Apsara File Storage NAS)

NAS NFS运行日志

函数计算 FC(Function Compute)

函数计算运行日志

操作审计(ActionTrail)

操作审计日志

配置审计(CloudConfig)

配置审计日志

全站加速 DCDN(Dynamic Content Delivery Network)

DCDN 边缘函数日志、DCDN 用户访问日志、DCDN WAF拦截日志

腾讯云

Web应用防火墙

Web应用防火墙告警日志

云防火墙

云防火墙告警日志

华为云

Web应用防火墙

Web应用防火墙告警日志

云防火墙

云防火墙告警日志

应用场景

威胁分析与响应是一款集成了多种功能的云原生安全信息和事件管理平台,旨在帮助企业用户更高效地管理和应对安全威胁,简化安全运维流程。以下是威胁分析与响应的一些典型应用场景:

  • 跨云、跨账号、跨产品数据的统一归集与审计

    威胁分析与响应可以将跨云环境、跨云账号和跨产品的日志数据进行统一归集,您可以通过设置全局账号管理员在云安全中心控制台集中查看和审计,轻松监控跨平台的安全事件,简化了数据分析和安全审计的工作。

  • 统一威胁运营与监测

    通过提供一个全局的数据监控和分析视角,威胁分析与响应让您能在单一的云安全中心控制台对多个产品进行威胁监控和运营管理,加快企业对安全事件的发现和响应速度。

  • 全局视野风险分析与告警降噪

    威胁分析与响应优化了日志数据处理,通过聚合和筛选告警数据,有效降低了告警的数量和频率,帮助安全团队聚焦于更重要的安全威胁,减少了信息过载和误报。

  • 安全事件自动化响应与处置

    自动化响应和处置能力让安全团队能够迅速采取行动,对监测到的威胁进行处理,如封禁恶意源或隔离受影响的资源,显著提高了对安全事件的应对速度和整体安全性能。

购买及开通威胁分析与响应

  1. 访问云安全中心购买页并使用您的阿里云账号登录。

  2. 设置威胁分析与响应是否选购为,并设置需要购买的日志接入流量日志存储容量

    您可以参考下文设置威胁分析与响应的购买项,关于云安全中心版本选择和其他服务选购说明,请参见购买云安全中心

    • 日志接入流量(必选):选择每天需接入威胁分析与响应进行分析的日志流量,单位为GB/天。您可以通过以下方式估算需购买的日志接入流量:

      • 根据已开通的日志服务容量评估:

        日志接入流量(GB/天)=日志存储容量/TTL*4

        • 日志存储容量为需接入威胁分析与响应的日志源已使用的日志存储空间。

        • TTL为日志保存时间。

        • 4代表日志压缩比系数,即日志接入流量与落盘存储日志容量的比例。常用取值为3~6,推荐配置为4。

      • 根据日志接入数量EPS评估:

        日志接入流量(GB/天)=EPS*86400s*SIZE/(1024*1024)

        • EPS全称为Event Per Second,一天内接入威胁分析的原始日志的数量。

        • SIZE为每条日志的大小,一般范围为3~7 KB。

    • 日志存储容量(可选):选择需使用的日志存储容量。推荐为每台服务器配置120 GB日志存储容量,或按照云安全中心日志分析存储容量的3倍进行配置。更多信息,请参见日志管理

    image

  3. 细阅读并选中云安全中心服务协议,单击立即购买并完成支付。

  4. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  5. 在左侧导航栏,选择检测响应 > 威胁分析与响应

  6. 威胁分析与响应页面,单击立即授权

    默认选中自动接入阿里云云安全中心、Web应用防火墙、云防火墙的告警日志,以识别云上安全事件。完成授权后,在产品接入页面当前阿里云账号的三个云产品的告警日志将已自动接入。完成授权后,云安全中心将自动创建服务关联角色AliyunServiceRoleForSasCloudSiem,威胁分析与响应将使用该服务关联角色访问您其他云产品中的资源。关于AliyunServiceRoleForSasCloudSiem角色的更多信息,请参见云安全中心服务关联角色

开通后控制台的变化

开通威胁分析与响应服务后,云安全中心管理控制台的功能模块页面会产生变化。

功能模块

变更说明

检测响应

导航栏目录名称变更为威胁分析与响应,新增威胁分析与响应的功能模块页面,例如安全事件处置日志管理等。同时原来的以下页面会发生变更:

  • 安全告警处理:页面名称变更为安全告警,页面内容展示为威胁分析与响应服务下全局的安全告警信息。

    您可以在安全告警页面右上角单击主机和容器安全告警,进入云安全中心原来的安全告警处理页面。

  • 攻击分析:默认隐藏。

    您可以在安全告警页面右上角单击前往当前账号攻击分析,进入云安全中心原来的攻击分析页面。更多信息,请参见攻击分析

  • 事件调查:默认隐藏。

    您可以在安全告警页面右上角单击主机和容器安全告警,进入安全告警处理页面后,在告警名称列单击image.png图标,进入事件调查页面。更多信息,请参见查看和处理安全告警

    image.png

系统配置 > 多账号安全管理

新增威胁分析监控账号页签。

在该页签可添加需要接入威胁分析与响应的其他阿里云账号。

基本概念

在使用威胁分析与响应的过程中,您可能会碰到一些专业术语。为了帮助您更好地理解这些术语,我们提供了相应的定义和解释供您参考。

概念

解释

处置策略

处置策略是以处置场景为最小单位的告警处置详情。每个处置实体在每个处置场景的处置结果均会生成一条处置策略。

处置任务

处置任务是以作用域为最小单元的告警处置详情。在事件处置过程中,每个处置实体的每个处置场景会根据作用域能拆分成多个处置任务。

处置实体/实体

指关联告警的核心对象,包括IP地址、文件名、进程名称等。

响应编排

指在安全事件发生时,通过自动化工具和流程来组织和管理安全响应措施的一系列动作。这种方式能够帮助组织快速、有效地对安全事件做出反应,减少人工干预,提高处置效率。

剧本(PlayBook)

响应编排的剧本,是由一系列预设的响应策略组成,并可在特定事件触发时自动执行的自动化安全工作流程。

编写剧本类似于绘制流程图,包含流程的起始点、判定环节、具体动作和终结点。您可以通过可视化编辑界面自定义每个环节的特定动作,如定义终端管理组件的禁用网络动作。

组件(Component)

与外部系统或服务的接口,如Web应用防火墙、云防火墙、数据库、通知服务等。组件作为外部服务的连接器,本身不处理复杂的逻辑,而是依赖于所连接的系统或服务。在选择组件后,您需要指定对应的资源和动作。

组件分为流程编排组件、基础编排组件和安全应用组件。

资源实例(Resource Instance)

指定与组件相关联的具体外部服务详情。例如,对于MySQL组件,如果企业有多个MySQL服务实例,您需要明确要连接的具体数据库实例。

动作(Action)

组件的具体执行能力,一个组件可能包含多种动作。以终端管理软件为例,可能包括如禁用账户、隔离网络、发送通知等动作。

相关文档