云安全中心的主机防护和容器防护通过设置的资产防护规则,会生成多种告警,并展示在安全告警的云工作负载保护平台(CWPP)中。云安全中心通过图计算技术,将具有关联性的CWPP告警(如相同MD5值或父进程ID)聚合生成事件,本文介绍告警生成的CWPP安全事件的基本概念。
CWPP安全事件概念解读
CWPP安全事件来源
云安全中心主机防护和容器防护设置的资产防护规则会生成告警信息,云安全中心通过图计算技术将具有关联性的CWPP告警(如相同MD5值或父进程ID)聚合生成安全事件,事件详情页概览区域显示的告警来源为“云安全中心”。
可在的云工作负载保护平台(CWPP)页签查看CWPP告警信息。
CWPP安全事件生成规则
CWPP告警(除精准防御类型告警外)默认都会生成安全事件,如果主机侧的告警无关联性时,单条告警可生成一个事件。
如果设置了事件加白规则,命中加白规则的告警不会生成安全事件。
事件保存时间说明
安全事件处置页面仅支持查看180天内的事件。
安全事件风险等级及处理说明
风险等级 | 描述 | 处理说明 |
严重 |
| 建议您立即查看该事件并及时处理。 |
高危 |
| 建议您立即查看该事件并及时处理。 |
中危 | 该事件所描述的行为,表示发现了一些疑似恶意的行为或实体,此次事件有可能是一次成功的入侵行为,可能已经对您的资产造成了不良影响,也有可能是部分不寻常的运维行为导致的,例如异常登录等。 | 该风险等级表示您的资产有一定概率正在受到攻击,建议您查看该事件详情,进一步判断是否存在风险并进行相应处理。 |
低危 | 该事件所描述的行为,表示此次事件有一定概率是一次成功的入侵行为,或是代表您的资产正在遭受外部的持续攻击探测,例如来自106.11.XX.XX的访问。 | 如果您对资产的安全等级要求较高,可以关注该等级的安全事件。 |
信息 | 从工作自动化软件中收到大量警报,这些警报仅为告知我们某些作业已运行或已达到特定里程碑。 | 可忽略。 |
CWPP安全事件处理对象
安全事件可以针对事件聚合的告警和提炼出的告警实体进行处理。
CWPP安全告警
CWPP安全事件是由CWPP安全告警通过图计算技术聚合生成,在处理CWPP安全事件时若为误报对其进行事件加白,告警加白操作。
告警聚合规则如下:
CWPP安全事件通过图计算技术可聚合的告警数量上限为2000条。
对于未处理状态的事件,新生成告警可以继续向该事件中聚合。
对于处理中、已处理或处理失败状态的事件,新生成告警不再往该事件中聚合,而是新生成一个未处理状态的事件。
实体
在安全事件中,实体(Entity) 是指与安全事件相关联的具体对象或行为体。云安全中心支持抽取并聚合安全告警中的实体,根据实体是否有恶意标签,将实体分类为恶意实体或非恶意实体,并支持查看实体详情、运行剧本和查询阿里云威胁情报。云安全中心支持识别的实体类型如下:
实体名称 | 是否为资产实体 | 是否可标识恶意 |
主机 | 是 | 否 |
IP地址 | 是 | 是 |
云账号 | 是 | 否 |
访问密钥 | 是 | 否 |
域名 | 是 | 是 |
文件 | 否 | 是 |
主机进程 | 否 | 是 |
主机账户 | 否 | 否 |
URL | 否 | 否 |
注册表 | 否 | 是 |
容器 | 是 | 否 |
集群 | 是 | 否 |
对象存储 | 是 | 否 |
安全事件处理流程图
更多服务
若您开通了威胁分析与响应(CTDR)服务,可获得更多的安全事件分析和处理服务,服务对比参见下表:
差异点 | 开通CTDR增值服务 | 未开通CTDR增值服务 |
支持处理的事件类型 |
| 云工作负载安全保护平台(CWPP)安全告警,例如云安全中心主机、容器相关入侵检测及防御告警,通过图计算聚合而成。 |
事件处理方法 |
|
|