云安全中心的威胁分析与响应CTDR(Cloud Threat Detection and Response)通过预定义或自定义规则,分析多个安全告警的上下文并聚合形成完整事件,还原攻击链并提取恶意实体,帮助您快速响应和处置云上安全风险。本文介绍如何处置CTDR告警生成的安全事件。
注意事项
开通威胁分析与响应(CTDR)服务后,云工作负载安全保护平台(CWPP)安全告警形成的安全事件迁移至CTDR处理,处理流程与CTDR产生的安全事件保持一致。关于CWPP安全事件说明,请参见CWPP安全事件概述。
CTDR安全事件概念解读
CTDR安全事件来源
云安全中心的威胁分析与响应CTDR(Cloud Threat Detection and Response)通过预定义或自定义规则,生成多个安全告警。CTDR通过分析多个安全告警的上下文形成完整事件。
可在的聚合分析告警和自定义分析告警页签查看CTDR告警信息。
如何配置预定义规则和自定义规则,请参见配置威胁检测规则。
CTDR安全事件生成机制
CTDR安全事件是由预定义规则或自定义规则将关联的多个安全告警聚合而成的,以便您能快速识别并响应安全威胁。安全事件根据告警产生设备分为以下两类:
网络侧:CTDR聚焦于黑客的探测行为(如扫描或踩点),将网络侧产生的告警通过预定义规则生成事件,以防止攻击者进一步探测用户信息。
主机侧:CTDR通过图计算技术,将主机侧具有关联性的告警(如相同MD5值或父进程ID)聚合生成事件,帮助用户快速定位攻击入口并响应。
并非所有告警都会生成安全事件,只有满足以下条件的告警才会触发事件生成:
主机侧的告警都会生成安全事件。如果主机侧的告警无关联性时,单条告警可生成一个事件;网络侧的告警只有命中预定义规则或自定义规则的事件聚合策略,对应的告警才会生成安全事件。
如果设置了事件加白规则,则命中加白规则的告警不会生成事件。
如果仅开启了预定义规则,只有命中预定义规则中的事件生成方式图计算和专家规则的告警才会生成事件。
事件保存时间说明
安全事件处置页面仅支持查看180天内的事件。
安全事件风险等级及处理说明
风险等级 | 描述 | 处理说明 |
严重 |
| 建议您立即查看该事件并及时处理。 |
高危 |
| 建议您立即查看该事件并及时处理。 |
中危 | 该事件所描述的行为,表示发现了一些疑似恶意的行为或实体,此次事件有可能是一次成功的入侵行为,可能已经对您的资产造成了不良影响,也有可能是部分不寻常的运维行为导致的,例如异常登录等。 | 该风险等级表示您的资产有一定概率正在受到攻击,建议您查看该事件详情,进一步判断是否存在风险并进行相应处理。 |
低危 | 该事件所描述的行为,表示此次事件有一定概率是一次成功的入侵行为,或是代表您的资产正在遭受外部的持续攻击探测,例如来自106.11.XX.XX的访问。 | 如果您对资产的安全等级要求较高,可以关注该等级的安全事件。 |
信息 | 从工作自动化软件中收到大量警报,这些警报仅为告知我们某些作业已运行或已达到特定里程碑。 | 可忽略。 |
CTDR安全事件处理对象
安全事件可以针对事件聚合的告警和提炼出的告警实体进行处理。
CTDR安全告警
CTDR通过预定义或自定义规则,生成多个安全告警,CTDR通过分析告警上文聚合成安全事件。
告警聚合规则如下:
图计算生成的安全事件,告警数量上限为2000条,其他事件生成方式(同类聚合)上限为1w条。
对于未处理状态的事件,新生成告警可以继续向该事件中聚合。
对于处理中、已处理或处理失败状态的事件,新生成告警不再往该事件中聚合,而是新生成一个未处理状态的事件。
实体
在安全事件中,实体(Entity) 是指与安全事件相关联的具体对象或行为体。云安全中心支持抽取并聚合安全告警中的实体,根据实体是否有恶意标签,将实体分类为恶意实体或非恶意实体,并支持查看实体详情、运行剧本和查询阿里云威胁情报。云安全中心支持识别的实体类型如下:
实体名称 | 是否为资产实体 | 是否可标识恶意 |
主机 | 是 | 否 |
IP地址 | 是 | 是 |
云账号 | 是 | 否 |
访问密钥 | 是 | 否 |
域名 | 是 | 是 |
文件 | 否 | 是 |
主机进程 | 否 | 是 |
主机账户 | 否 | 否 |
URL | 否 | 否 |
注册表 | 否 | 是 |
容器 | 是 | 否 |
集群 | 是 | 否 |
对象存储 | 是 | 否 |
事件处理
差异点 | 开通CTDR增值服务 | 未开通CTDR增值服务 |
支持处理的事件类型 |
| 云工作负载安全保护平台(CWPP)安全告警,例如云安全中心主机、容器相关入侵检测及防御告警,通过图计算聚合而成。更多信息请参见CWPP(云工作负载)安全事件概述。 |
事件处理方法 |
|
|
安全事件处理流程图
