开通威胁分析与响应CTDR(Cloud Threat Detection and Response)服务后,云安全中心将对已接入CTDR的日志进行分析和加工,从而生成告警和事件。通过使用安全告警功能,您可以实现跨安全产品告警记录的统一管理。本文将介绍CTDR安全告警功能的基本信息以及如何查看告警数据。
前提条件
已开通并授权威胁分析与响应服务。具体操作,请参见什么是威胁分析与响应。
已接入对应产品的日志。具体操作,请参见接入云产品日志。
多账号统一管理说明
在多账号统一管理场景下,如果您使用全局账号管理员登录云安全中心控制台,在安全告警页面查看告警数据前,需要切换视图。视图说明如下:
当前账号视图:当前账号接入的日志产生的告警。在云工作负载保护平台(CWPP)页签下,提供对告警的处置能力。
全局账号视图:威胁分析与响应管控范围内的阿里云账号接入的日志数据产生的告警。该视图下,所有告警均不提供处置能力。
更多信息,请参见多账号统一管理。
告警属性说明
告警来源说明
下表介绍安全告警页面不同页签告警的数据来源。
页签 | 数据来源说明 |
聚合分析告警 | CTDR将对您接入的日志进行深度分析,并根据预定义的规则生成相应的告警信息。 |
自定义分析告警 | CTDR将对您接入的日志进行深度分析,并依据预设的自定义规则生成相应的告警信息。 |
云工作负载保护平台(CWPP) | 云安全中心主机、容器相关入侵检测及防御告警。 |
防火墙(Firewall) |
|
Web应用防火墙(WAF) |
|
其他 | 除云安全中心告警日志、防火墙日志、Web应用防火墙日志外,已接入CTDR的其他告警日志。 |
告警保存时间
未命中事件生成规则的告警,其保存时间为30天。对于命中事件生成规则并生成事件的告警,保存时间为180天。超过保存天数的告警将被自动清理。
上文中提到的告警保存时间,特指CTDR告警的保存时间,即在云工作负载保护平台(CWPP)页签以外的其他页签所展示的告警。
告警状态说明
CTDR的告警是无状态的,且不支持处理。CTDR是基于接入的日志数据来进行分析和判断,并不依赖历史数据来产生新的告警。您可以使用CTDR的安全事件处置能力,处理资产中存在的安全威胁。具体操作,请参见处置安全事件和响应编排。
查看告警
下述内容以查看聚合分析告警页签的告警为例,介绍查看告警的操作步骤。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在聚合分析告警页签,查看通过预定义规则产生的告警。
查看告警的受影响资产:单击受影响资产列的链接,可查看受影响资产的详细信息。
查看产生告警的恶意实体:单击恶意实体列的链接,可查看CTDR解析出的对系统安全构成威胁的元素或行为,恶意实体包括发起攻击的IP地址、进程和文件等。
查看告警关联事件:单击关联事件ID列的ID,可查看该告警关联的事件详情。
在目标告警的操作列单击详情,查看告警的详细信息。
支持查看告警的基础信息、受影响资产、发生时间、告警说明等信息。