云安全中心的威胁分析与响应CTDR(Cloud Threat Detection and Response)通过预定义或自定义规则,分析多个安全告警的上下文并聚合形成完整事件,还原攻击链并提取恶意实体,帮助您快速响应和处置云上安全风险。本文介绍如何查看和处置安全事件。
安全事件说明
事件生成机制
安全事件是由预定义规则或自定义规则将关联的多个安全告警聚合而成的,以便您能快速识别并响应安全威胁。安全事件根据告警产生设备分为以下两类:
网络侧:CTDR聚焦于黑客的探测行为(如扫描或踩点),将网络侧产生的告警通过预定义规则生成事件,以防止攻击者进一步探测用户信息。
主机侧:CTDR通过图计算技术,将主机侧具有关联性的告警(如相同MD5值或父进程ID)聚合生成事件,帮助用户快速定位攻击入口并响应。
并非所有告警都会生成安全事件,只有满足以下条件的告警才会触发事件生成:
主机侧的告警都会生成安全事件。如果主机侧的告警无关联性时,单条告警可生成一个事件;网络侧的告警只有命中预定义规则或自定义规则的事件聚合策略,对应的告警才会生成安全事件。
如果设置了事件加白规则,则命中加白规则的告警不会生成事件。
如果仅开启了预定义规则,只有命中预定义规则中的事件生成方式图计算和专家规则的告警才会生成事件。
事件聚合告警规则
一个安全事件可聚合的告警数量上限为1万条。
对于未处理状态的事件,新生成告警可以继续向该事件中聚合;对于处理中、已处理或处理失败状态的事件,新生成告警不再往该事件中聚合,而是新生成一个未处理状态的事件。
事件风险等级
风险等级 | 描述 |
风险等级 | 描述 |
高危 | 该事件所描述的行为表示发现了明确的恶意行为或实体,此次事件极可能是一次成功的入侵行为,对您的资产已经造成了不良影响,例如进程异常行为-反弹Shell,建议您立即查看该事件并及时处理。 |
中危 | 该事件所描述的行为,表示发现了一些疑似恶意的行为或实体,此次事件有可能是一次成功的入侵行为,可能已经对您的资产造成了不良影响,也有可能是部分不寻常的运维行为导致的,例如异常登录等。该风险等级表示您的资产有一定概率正在受到攻击,建议您查看该事件详情,进一步判断是否存在风险并进行相应处理。 |
低危 | 该事件所描述的行为,表示此次事件有一定概率是一次成功的入侵行为,或是代表您的资产正在遭受外部的持续攻击探测,例如来自106.11.XX.XX的访问。如果您对资产的安全等级要求较高,可以关注该等级的安全事件。 |
事件保存时间说明
安全事件处置页面仅支持查看180天内的事件。
实体说明
在安全事件中,实体(Entity) 是指与安全事件相关联的具体对象或行为体。CTDR支持抽取并聚合安全告警中的实体,根据实体是否有恶意标签,将实体分类为恶意实体或非恶意实体,并支持查看实体详情、运行剧本和查询阿里云威胁情报。CTDR支持识别的实体类型如下:
实体名称 | 是否为资产实体 | 是否可标识恶意 |
实体名称 | 是否为资产实体 | 是否可标识恶意 |
主机 | 是 | 否 |
IP地址 | 是 | 是 |
云账号 | 是 | 否 |
访问密钥 | 是 | 否 |
域名 | 是 | 是 |
文件 | 否 | 是 |
主机进程 | 否 | 是 |
主机账户 | 否 | 否 |
URL | 否 | 否 |
注册表 | 否 | 是 |
容器 | 是 | 否 |
集群 | 是 | 否 |
对象存储 | 是 | 否 |
多账号统一管理说明
在多账号统一管理场景下,如果您使用全局账号管理员登录云安全中心控制台,在安全事件处置页面处置安全事件前,需要切换视图。视图说明如下:
当前账号视图:可查看并处置当前账号检测出的安全事件。
全局账号视图:可查看并处置威胁分析与响应管控范围内的阿里云账号检测出的安全事件。
更多信息,请参见多账号统一管理。
前提条件
查看事件详情并判断是否需处置事件
如果同一个安全事件多次被检测到,并且已经存在的安全事件状态为未处理,则系统将在该安全事件中新增告警,不会生成新的安全事件;如果已经存在的安全事件状态为处理中、已处理或处理失败,则会新建一个安全事件。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
在安全事件处置页面,选择需查看的事件的发生时间范围。
支持根据安全事件风险等级(高危、中危、低危)、事件状态(未处理、处理中、处理失败、已处理)、事件名称、事件ID和资产ID筛选事件。
在目标事件的操作列单击详情。
您可以通过安全事件的风险等级(高危、中危、低危)来判断安全事件的处置紧急程度。
在事件详情页面的不同页签下查看该事件的详细信息。
区域
描述
区域
描述
概览区域
介绍该事件的基本信息及ATT&CK攻击阶段。您可以在该区域查看事件的受影响资产数、生成方式、关联告警数、检测规则、关联账号、发生时间、告警来源等信息。
时间线页签
在该页签查看攻击时间线和溯源图。在全屏模式下可查看完整的攻击时间线和溯源图,点击告警图标可查看详细的告警信息。
溯源图是CTDR结合多种云产品日志,通过大数据分析引擎对数据进行加工、聚合、可视化,形成的事件发生链路图,帮助您在最短的时间内定位事件发生原因并制定事件处理策略。
单击事件中的节点,即可查看对应节点的详细信息。单击溯源图右上角的
、
、
图标,可下载当前页面展示的事件溯源图片、设置溯源图样式、查看节点图例。仅同时满足以下条件的安全事件支持展示溯源图:
安全事件的告警源来自云安全中心。
告警中涉及的实体(如IP地址、进程、文件等)所关联的上下文日志记录可还原出攻击路径溯源图。
安全告警页签
在该页签查看聚合成该事件的所有安全告警列表。通过多维度的告警统计数据(包括告警数量、防御措施、发生时间等),您可以获取更多信息,以判断该攻击使用的方法、攻击所处阶段并决定相应的处理方式。
单击目标告警操作列的详情,即可查看该告警的详细信息。
实体页签
展示该事件中抽取到的实体对象,支持展示的实体类型包括主机、文件、进程、IP地址和主机账户等。您可以通过以下维度查看并管理实体:
全部实体:展示该事件中抽取到的所有实体。默认只展示恶意实体,如需查看所有实体或非恶意实体,需在实体列表上方更新筛选条件。
仅恶意实体支持查看阿里云威胁情报,并运行剧本。非恶意实体仅支持查看近30天关联的事件和告警信息。
受影响资产:展示受该事件影响的资产,方便您对资产受影响面进行快速评估。
响应活动页签
响应活动全面记录了事件调查、风险分析及响应处置的全过程,并提供关键处置策略和任务的管理入口,以便团队内人员在事中协作时共享调查过程和处理信息;事后对事件活动过程进行复盘总结,积累宝贵经验。
智能助手区域
提供大模型对话能力,可以帮助您获取安全事件总结、事件关联的所有的实体、事件处置建议等事件相关信息,以便于您了解更多信息。
参考下述步骤,判断当前事件是否为攻击事件,是否需要处置。
下述内容以网络攻击事件为例,介绍判断指定IP是否为攻击IP的详细步骤。如果判断为攻击IP,建议您及时进行事件处置。
在概览区域,了解该事件的基本信息。
在时间线页签,查看该事件的溯源图。在某些情况下,您可以在溯源图中查看到具体的攻击入侵点。
在安全告警页签,查看相关告警的详细信息。
在事件详情页面实体页签,单击对应IP地址实体操作列的详情,查看IP地址实体的基础信息、阿里云威胁情报、近30天关联的事件、近30天关联的告警和关联的处置任务。
处置安全事件
及时处理威胁分析与响应的安全事件可以提高系统的安全性,建议您及时处理风险等级为高危的安全事件。您可以选择手动处置或自动处置安全事件。
手动处置安全事件:通过人工审核安全事件,并根据安全事件的严重性和实际情况采取相应的安全措施。适用于复杂度高、需要专业判断的安全事件,或者对于新型、未知的威胁,需要人工来识别和应对。
自动处置安全事件:通过预先设定的剧本和规则,系统自动执行安全响应措施,如隔离受感染的主机、封锁可疑IP地址等。适用于处理已知、定义明确的安全事件,或者对于需要快速响应的低复杂度威胁(如自动化处理大量相似的低级别告警)。
通过威胁分析与响应处理由云安全中心告警聚合而成的事件后,云安全中心将自动更新云工作负载保护平台(CWPP)页签下相关告警的状态,无需手动更新。更多信息,请参见查看和处理安全告警。
在左侧导航栏,选择。
在安全事件处置页面,在目标事件的操作列单击。
在面板,选中需处置的恶意实体,并单击确定,并更新事件状态。
支持修改推荐策略生效的实体和动作时效。您可以在使用推荐处置策略面板,单击对应实体操作列的编辑,在编辑策略面板,修改封禁规则下发的目标账号、动作时效等参数。
您也可以在事情详情页面的实体页签下,单击对应实体操作列的运行剧本,对实体进行处置,例如封禁IP地址、结束并隔离高危进程等。
在更新事件状态对话框,选择事件状态为处理中或已处理,单击确定。
处理中:选择该项表示除当前的处置操作外,还存在其他与事件处置相关的动作,例如止血、溯源、修复漏洞等。
已处理:选择该项表示,除了当前的处置操作之外,没有其他后续的处置相关动作。
完成该步骤操作后,CTDR将自动创建处置策略并执行处置任务,如果处置任务执行失败,事件状态将更新为处理失败。否则,事件状态将更新为您在此处设置的状态。
使用威胁分析与响应提供的响应编排功能,您可以通过配置剧本和自动化响应规则,自动批量处理安全威胁事件。具体操作,请参见响应编排。
查看事件处置结果
您可以通过处置中心模块,统一查看安全事件处置详情。处置中心模块从处置实体维度展示安全事件处置策略和处置任务的管理视图。
处置策略是以可处置实体对应的处置场景(剧本)为最小单位的事件处置详情;您可以通过处置策略快速了解安全事件的处置实体、处置场景、作用域等信息。处置策略的数据来源包括:
处置任务是以作用域(即事件处置的云账号)为最小单元的事件处置详情。
例如在某个事件处置中,您对1个处置实体下的2个场景进行处置,处置作用域分别选择3个账号,则该事件处置完成后,生成的处置策略数量=1*2=2条,生成的处置任务=1*2*3=6条。
查看事件处置策略
您可以选择,在处置策略页签,查看安全事件处置策略信息。
在实体对象/特征列单击实体对象,可查看该实体的上下文、阿里云威胁情报、相关告警等信息。
在关联的来源列单击处置策略的来源,可查看该处置策略关联的告警、安全事件或剧本。
在操作列单击查看任务,可进入处置任务页面查看对应处置策略相关联的任务信息。
查看事件处置任务
通过处置任务,您可以实时了解检测出的恶意实体,以及协同其他云产品的处置情况。例如,通过云防火墙封禁恶意攻击IP的现状是封禁中、失败、成功还是解封失败。
您可以选择,在处置任务页签,查看处置任务信息。
如果处置任务关联的处置策略有更新或者处置任务执行失败时,您可以在操作列单击重试,重新执行该任务。
任务执行后,如果有云产品对处置实体IP进行了封禁动作,而您确认过该IP无需封禁时,您可以在操作列单击解除封禁,解除该IP的封禁。
更多操作
设置告警加白规则
如果您判断某些告警无需处理,并且不希望该告警出现在后续生成的安全事件中,您可以设置告警的加白规则。设置加白规则后,当新增的告警命中加白规则时,该告警不再被聚合到安全事件中。
在左侧导航栏,选择。
通过以下方式配置告警加白规则。
通过全局加白规则配置页面:在安全事件处置页面右上角,单击事件加白设置,选择事件加白规则的场景类型,然后在操作列单击编辑。
通过事件的加白规则配置页面:在安全事件处置页面,找到目标事件,在操作列单击,在事件加白设置列表,单击右上角的+新建策略组。
配置加白规则。
在一个场景策略组中,您可以配置多条加白策略。同一场景的不同策略以“与”关系生效。
支持创建多个场景策略组,多个场景策略组以“或”关系生效。
配置项
描述
配置示例
配置项
描述
配置示例
场景
威胁分析与响应会提供当前事件可加白的场景供您选择。
单击+新建策略,可在当前策略组场景下添加多条匹配规则。
策略组一
场景:Rootkit
对象一:主机UUID
条件:等于
条件值:f6170c02-d55f-4c42-b73f-a394d7a2****
对象二:文件路径
条件:包含
条件值:/root/md5/4ff73477a06a3412145d1a7e6d9c****
策略组二
场景:被污染的基础软件
对象:主机UUID
条件:等于
条件值:f6170c02-d55f-4c42-b73f-a394d7a2****
对象
选择当前场景生效的具体对象。威胁分析与响应会根据您选择的场景提供可供选择的生效对象。
条件
条件值
设置加白规则的生效条件和条件值。
导出安全事件详情
您可以将安全事件详情以Excel表格形式导出到本地,便于跨部门协作处理安全事件,并提高内部信息共享与事件追踪的效率。
最多支持导出1,000条安全事件记录。导出的文件包含3个标签页,分别为安全事件记录列表、安全事件涉及的资产列表、安全事件涉及的实体列表。
在左侧导航栏,选择。
(可选)设置事件风险等级、状态、发生时间等过滤条件。
在安全事件列表右上角,单击
图标。待文件导出完成后,单击下载,将文件下载到本地。
相关文档
- 本页导读 (1)
- 安全事件说明
- 事件生成机制
- 事件聚合告警规则
- 事件风险等级
- 事件保存时间说明
- 实体说明
- 多账号统一管理说明
- 前提条件
- 查看事件详情并判断是否需处置事件
- 处置安全事件
- 查看事件处置结果
- 查看事件处置策略
- 查看事件处置任务
- 更多操作
- 设置告警加白规则
- 导出安全事件详情
- 相关文档
