AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 云安全中心 操作指南 威胁分析与响应 安全告警

安全告警- CTDR(威胁分析与响应)

更新时间:
产品详情
我的收藏

开通威胁分析与响应CTDR(Cloud Threat Detection and Response)服务后,云安全中心将对已接入CTDR的日志进行分析和加工,从而生成告警和事件。通过使用安全告警功能,您可以实现跨安全产品告警记录的统一管理。本文将介绍CTDR安全告警功能的基本信息以及如何查看告警数据。

注意事项

开通威胁分析与响应(CTDR)服务后,云工作负载安全保护平台(CWPP)安全告警信息迁移至CTDR安全告警目录下,可在云工作负载保护平台(CWPP)中进行查看和处理,处理具体步骤请参见查看和处理安全告警

前提条件

告警来源说明

下表介绍安全告警页面不同页签告警的数据来源。

页签

数据来源说明

聚合分析告警

CTDR将对您接入的日志进行深度分析,并根据预定义的规则生成相应的告警信息。

自定义分析告警

CTDR将对您接入的日志进行深度分析,并依据预设的自定义规则生成相应的告警信息。

云工作负载保护平台(CWPP)

云安全中心主机、容器相关入侵检测及防御告警。更多内容请参见安全告警-CWPP(云工作负载)

防火墙(Firewall)

  • 已接入CTDR的阿里云云防火墙告警日志。

  • 已接入CTDR的第三方云厂商和安全厂商的防火墙告警日志,例如:腾讯云、华为云、飞塔防火墙等的告警日志。

Web应用防火墙(WAF)

  • 已接入CTDR的阿里云Web应用防火墙告警日志。

  • 已接入CTDR的第三方云厂商和安全厂商的Web应用防火墙告警日志,例如:腾讯云、华为云、飞塔防火墙等的告警日志。

端点检测与响应(EDR)

已接入的三方端点检测与响应(EDR)告警日志,例如:深信服aES告警日志等。

其他

除云安全中心告警日志、防火墙日志、Web应用防火墙、EDR日志外,已接入CTDR的其他告警日志。

CTDR告警和CWPP告警的对比

差异点

CTDR告警(非CWPP告警)

云工作负载保护平台(CWPP)告警

告警来源

已接入CTDR的日志进行分析和加工,通过预定义规则和自定义规则形成告警。

说明

云工作负载保护平台(CWPP)页签以外的告警。

通过威胁检测模型,检测主机、容器相关入侵检测及防御告警。

说明

云工作负载保护平台(CWPP)页签下所有告警。

是否可处理

  • CTDR告警不支持单独处理,仅支持查看。

  • 可支持处理由CTDR告警集合而成的安全事件。

  • CWPP告警可直接单独处理,处理方案包含病毒查杀、隔离、阻断、加白等。

  • 可支持处理聚合而成的安全事件。

告警保存时间

未命中事件生成规则的告警,其保存时间为30天。对于命中事件生成规则并生成事件的告警,保存时间为180天。超过保存天数的告警将被自动清理。

说明

上文中提到的告警保存时间,特指CTDR告警的保存时间,即在云工作负载保护平台(CWPP)页签以外的其他页签所展示的告警。

告警处理说明

  • CTDR的告警是无状态的,且不支持处理。CTDR是基于接入的日志数据来进行分析和判断,并不依赖历史数据来产生新的告警。

  • 您可以使用CTDR的安全事件处置能力,处理资产中存在的安全威胁。具体操作,请参见处置安全事件响应编排

查看告警

下述内容以查看聚合分析告警页签的告警为例,介绍查看告警的操作步骤。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择威胁分析与响应 > 安全告警

  3. 聚合分析告警页签,查看通过预定义规则产生的告警。

    • 查看告警的受影响资产:单击受影响资产列的链接,可查看受影响资产的详细信息。

    • 查看产生告警的恶意实体:单击恶意实体列的链接,可查看CTDR解析出的对系统安全构成威胁的元素或行为,恶意实体包括发起攻击的IP地址、进程和文件等。

    • 查看告警关联事件:单击关联事件ID列的ID,可查看该告警关联的事件详情。

  4. 在目标告警的操作列单击详情,查看告警的详细信息。

    支持查看告警的基础信息、受影响资产、发生时间、告警说明等信息。

常见病毒告警处理实践教程

安全加固方案

  • 升级云安全中心版本

    企业版和旗舰版支持病毒自动隔离(即病毒自动查杀)功能为您提供精准防御能力,目前已支持主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型,支持的安全检测项也更多。

  • 设置服务器安全组

    常见的安全组设置如下若是阿里云 ECS服务器可参见管理安全组进行操作。

    • 只允许指定的IP地址进行3389(远程桌面)、22(SSH)登录,避免服务器管理端口被黑客扫描或爆破。

    • 在安全组中,只放行必要的业务端口(例如80、443),其他无关端口不要放行。

    • 对于数据库端口(例如1433、3306、6379等),应设置为只允许指定的IP来连接,如无必要,建议不要对外开放。

  • 设置复杂服务器密码

    服务器密码设置尽量复杂,不要过于简单(包含大小写字母+数字+特殊符号,密码长度至少8位以上) 。

  • 升级软件

    应用软件要经常升级到新版本,不要用老版本的软件。

  • 创建磁盘快照

    定期对重要服务器做磁盘快照。这样当出现数据丢失、误删数据、数据被黑客篡改(比如勒索病毒)等意外事件时,可以通过磁盘快照恢复您的数据。 若是阿里云 ECS服务器可参见创建自动快照策略进行操作。

  • 及时修复漏洞

    可使用云安全中心漏洞修复功能及时修补系统高危漏洞和应用漏洞(注意:修补漏洞前先做快照备份)。

  • 重置服务器系统(谨慎选择)

    如果病毒入侵较深,关联到系统底层组件,强烈建议您在备份重要数据后,重置服务器的系统。具体操作步骤如下:

    1. 创建快照备份服务器上的重要数据。具体操作,请参见创建快照

    2. 初始化服务器的操作系统。具体操作,请参见重新初始化系统盘(重置操作系统)

    3. 使用快照生成云盘。具体操作,请参见使用快照创建数据盘

    4. 挂载云盘到重装系统后的服务器上。具体操作,请参见挂载数据盘

  • 更多安全防护建议,请您查看文档操作系统安全加固

相关文档

  • 接入云产品日志后,您可以设置告警检测规则,将相关的多条安全告警聚合形成带有完整攻击链路的安全事件,降低告警数量,提升告警分析和处理效率。具体内容,请参见配置威胁检测规则

  • 您可以调用安全告警相关的API接口,查询安全告警信息等。具体接口列表,请参见安全告警

上一篇:日志管理下一篇:安全事件处置