文档

处置安全事件

更新时间:

威胁分析与响应通过使用预定义的规则或您自定义的规则,将关联的多个安全告警聚合成一个完整的安全事件,帮助您迅速识别并对云产品的安全告警作出响应。建议您定期检查并处理安全事件,以提升云产品的安全水平并确保系统的完整性。

安全事件时效说明

安全事件处置页面仅支持查看180天内的事件。

多账号统一管理说明

在多账号统一管理场景下,如果您使用全局账号管理员登录云安全中心控制台,在安全事件处置页面处置安全事件前,需要切换视图。视图说明如下:

  • 当前账号视图:可查看并处置当前账号检测出的安全事件。

  • 全局账号视图:可查看并处置威胁分析与响应管控范围内的阿里云账号检测出的安全事件。

image

安全告警处置中心页面使用相关功能前,也需要切换视图。视图说明和安全事件处置页面类似。更多信息,请参见多账号统一管理

前提条件

查看安全事件详情

说明

如果同一个安全事件多次被检测到,并且已经存在的安全事件状态为未处理,则系统将在该安全事件中新增告警,不会生成新的安全事件;如果已经存在的安全事件状态为处理中、处理完成或处理失败,则会新建一个安全事件。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择威胁分析与响应 > 安全事件处置

  3. 安全事件处置页面,选择需查看的事件的发生时间范围

    支持根据安全事件风险等级(高危、中危、低危)、事件状态(未处理、处理中、处理失败、已处理)、事件名称、事件ID和资产ID筛选事件。

    image

  4. 安全事件处置页面,在目标事件的操作列单击详情

    您可以通过安全事件的风险等级来判断安全事件的处置紧急程度。

    安全事件风险等级说明

    风险等级

    描述

    高危

    该事件所描述的行为表示发现了明确的恶意行为或实体,此次事件极可能是一次成功的入侵行为,对您的资产已经造成了不良影响,例如进程异常行为-反弹Shell,建议您立即查看该事件并及时处理。

    中危

    该事件所描述的行为,表示发现了一些疑似恶意的行为或实体,此次事件有可能是一次成功的入侵行为,可能已经对您的资产造成了不良影响,也有可能是部分不寻常的运维行为导致的,例如异常登录等。该风险等级表示您的资产有一定概率正在受到攻击,建议您查看该事件详情,进一步判断是否存在风险并进行相应处理。

    低危

    该事件所描述的行为,表示此次事件有一定概率是一次成功的入侵行为,或是代表您的资产正在遭受外部的持续攻击探测,例如来自106.11.XX.XX的访问。如果您对资产的安全等级要求较高,可以关注该等级的安全事件。

  5. 在事件详情页面的不同页签下查看该事件的详细信息。

    页签

    描述

    事件信息

    您可以在该页签查看事件的风险等级、所有者(所属的阿里云账号)、事件描述、发生时间、受影响资产等基本信息。

    如需查看受影响资产的详细信息,您可以在受影响的资产列表找到目标主机资产,移动鼠标到主机资产操作列的详情处,查看该主机资产的资产名称、公网IP、私网IP、操作系统等信息。

    攻击时间线

    您可以在该页签查看形成该安全事件告警攻击时间线。通过攻击时间线可以了解事件的发展过程,为您处理并规避此类事件提供更多详细信息。

    单击对应告警图标,可以查看告警的详细信息。

    安全告警

    您可以在该页签查看聚合成该事件的安全告警列表。

    在目标告警操作列单击详情,即可查看该告警的详细信息和关联异常。

    事件溯源

    您可以在该页签查看以安全事件为源头的自动化溯源可视化图和原始数据预览。

    事件溯源功能结合多种云产品日志,通过大数据分析引擎对数据进行加工、聚合、可视化,形成事件的发生链路图,帮助您在最短的时间内定位事件发生原因和制定事件处理策略。

    单击事件中的节点,即可查看对应节点的详细信息。单击事件溯源页签右上角的下载图标设置图标图例图标,可下载当前页面展示的事件溯源图片、设置溯源图样式、查看节点图例。

    说明

    仅同时满足以下条件的安全事件支持事件溯源功能:

    • 安全事件的告警源来自云安全中心。

    • 告警中涉及的实体(如IP地址、进程、文件、文件路径、登录事件、攻击载荷等)所关联的上下文日志记录可还原出攻击路径溯源图。

处置安全事件

及时处理威胁分析与响应的安全事件可以提高系统的安全性,建议您及时处理风险等级为高危的安全事件。您可以选择手动处置或自动处置安全事件。

  • 手动处置安全事件:通过人工审核安全事件,并根据安全事件的严重性和实际情况采取相应的安全措施。适用于复杂度高、需要专业判断的安全事件,或者对于新型、未知的威胁,需要人工来识别和应对。

  • 自动处置安全事件:通过预先设定的剧本和规则,系统自动执行安全响应措施,如隔离受感染的主机、封锁可疑IP地址等。适用于处理已知、定义明确的安全事件,或者对于需要快速响应的低复杂度威胁(如自动化处理大量相似的低级别告警)。

手动处置安全事件

  1. 在左侧导航栏,选择威胁分析与响应 > 安全事件处置

  2. 安全事件处置页面,在目标事件的操作列单击处理

  3. 在事件处理面板,完成以下配置,并单击确定

    配置项

    说明

    事件状态

    修改事件的状态,并设置事件处置备注信息。

    • 事件状态不支持手动设置为处理失败。威胁分析与响应在运行事件处置动作失败时,会将该事件的状态置为处理失败

    • 如果已经处理了事件或者明确当前事件无需处理,您可以将事件状态设置为已处理,此时您无需设置事件处置动作和通知策略。

    处置动作设置

    威胁分析与响应为不同的处置实体提供了内置的处置场景。处置场景中包含了需要联动的云产品和具体的动作,您可以针对不同的处置实体选择合适的处置场景。

    • 使用推荐处置策略:单击IP文件进程页签后,单击使用推荐处置策略

      如果单击使用推荐处置策略后,处置实体没有选中任何处置场景,说明该处置实体没有推荐的处置策略,您需要手动设置处置策略。

    • 手动设置处置策略:单击IP文件进程页签后,选择待处置的实体,单击实体左侧的下拉图标图标,设置处置场景、作用域和动作时效。

      • 场景:选择针对该实体的可处置场景。

      • 作用域:选择该处置场景生效的阿里云账号。

      • 动作时效:处置动作的有效时间。仅部分特定的场景支持配置动作时效。

    事件处置通知

    设置事件处置完成后的通知策略。完成通知策略配置后,您可以在右侧消息预览区域,查看发送的消息预览。

自动处置安全事件

使用威胁分析与响应提供的响应编排功能,您可以通过配置剧本和自动化响应规则,自动批量处理安全威胁事件。具体操作,请参见响应编排

更多操作

设置告警加白规则

如果您判断某些告警无需处理,并且不希望该告警出现在后续生成的安全事件中,您可以设置告警的加白规则。设置加白规则后,当新增的告警命中加白规则时,该告警不再被聚合到安全事件中。

  1. 在左侧导航栏,选择威胁分析与响应 > 安全事件处置

  2. 通过以下方式配置告警加白规则。

    • 通过全局加白规则配置页面:在安全事件处置页面右上角,单击事件加白设置,选择事件加白规则的场景类型,然后在操作列单击编辑

      image.png

    • 通过事件的加白规则配置页面:在安全事件处置页面,找到目标事件,在操作列单击加白,在事件加白设置列表,单击右上角的+新建策略组

      image.png

  3. 配置加白规则。

    说明
    • 在一个场景策略组中,您可以配置多条加白策略。同一场景的不同策略以“与”关系生效。

    • 支持创建多个场景策略组,多个场景策略组以“或”关系生效。

    配置项

    描述

    配置示例

    场景

    威胁分析与响应会提供当前事件可加白的场景供您选择。

    说明

    单击+新建策略,可在当前策略组场景下添加多条匹配规则。

    • 策略组一

      • 场景:Rootkit

      • 对象一:主机UUID

        • 条件:等于

        • 条件值:f6170c02-d55f-4c42-b73f-a394d7a2****

      • 对象二:文件路径

        条件:包含

        条件值:/root/md5/4ff73477a06a3412145d1a7e6d9c****

    • 策略组二

      • 场景:被污染的基础软件

      • 对象:主机UUID

      • 条件:等于

      • 条件值:f6170c02-d55f-4c42-b73f-a394d7a2****

    对象

    选择当前场景生效的具体对象。威胁分析与响应会根据您选择的场景提供可供选择的生效对象。

    条件

    条件值

    设置加白规则的生效条件和条件值。

导出安全事件详情

您可以将安全事件详情以Excel表格形式导出到本地,便于跨部门协作处理安全事件,并提高内部信息共享与事件追踪的效率。

最多支持导出1,000条安全事件记录。导出的文件包含3个标签页,分别为安全事件记录列表、安全事件涉及的资产列表、安全事件涉及的实体列表。

  1. 在左侧导航栏,选择威胁分析与响应 > 安全事件处置

  2. (可选)设置事件风险等级、状态、发生时间等过滤条件。

  3. 在安全事件列表右上角,单击image.png图标。

  4. 待文件导出完成后,单击下载,将文件下载到本地。

查看处置中心

您可以通过处置中心模块,统一查看安全事件处置详情。处置中心模块从处置实体维度展示安全事件处置策略和处置任务的管理视图。

处置策略是以可处置实体对应的处置场景(剧本)为最小单位的事件处置详情;处置任务是以作用域(即事件处置的云账号)为最小单元的事件处置详情。

说明

例如,在某个事件处置中,您对一个处置实体下的两个场景进行处置,处置作用域分别选择三个账号,则该事件处置完成后,生成的处置策略数量=1*2=2条,生成的处置任务=1*2*3=6条。

处置策略

处置策略是针对处置实体(即关联告警的主体,包括IP、文件、进程)的告警处置详情。您可以通过处置策略快速了解安全事件的处置实体、处置场景、作用域等信息。

处置策略的数据来源包括:

  • 安全事件处置页面手动处置事件的执行结果。详细信息,请参见处置安全事件

  • 响应编排剧本的自动化执行结果。详细信息,请参见响应编排

  • 安全管家服务的响应处置结果。详细信息,请参见什么是安全管家

您可以选择威胁分析与响应 > 处置中心,在处置策略页签,查看安全事件处置策略信息。

  • 实体对象/特征列单击实体对象,可查看该实体的上下文、阿里云威胁情报、相关告警等信息。

  • 关联的来源列单击处置策略的来源,可查看该处置策略关联的告警、安全事件或剧本。

  • 操作列单击查看任务,可进入处置任务页面查看对应处置策略相关联的任务信息。

处置任务

通过处置任务,您可以实时了解检测出的恶意实体,以及协同其他云产品的处置情况,例如,通过云防火墙封禁恶意攻击IP的现状是封禁中、失败、成功还是解封失败。

您可以选择威胁分析与响应 > 处置中心,在处置任务页签,查看处置任务信息。

  • 如果处置任务关联的处置策略有更新或者处置任务执行失败时,您可以在操作列单击重试,重新执行该任务。

  • 任务执行后,如果有云产品对处置实体IP进行了封禁动作,而您确认过该IP无需封禁时,您可以在操作列单击解除封禁,解除该IP的封禁。

查看安全告警

将云安全中心、Web应用防火墙以及云防火墙的告警日志集成到威胁分析与响应服务后,您可以实时查看原始告警数据,实现跨平台告警记录的统一管理,简化安全日志的监控过程,提高安全运维的效率,从而加强安全防护并优化响应机制。

  1. 在左侧导航栏,选择威胁分析与响应 > 安全告警

    说明

    如果当前显示的是云安全中心的安全告警处理页面,您可以在页面右上角单击全局安全告警,切换为威胁分析与响应的安全告警页面。

  2. (可选)在安全告警页面,设置过滤条件。

    您可以通过云产品搜索框选择告警数据来源,例如选择阿里云云防火墙阿里云云安全中心阿里云云安全中心威胁分析阿里云Web应用防火墙等。

    说明

    选择阿里云云安全中心威胁分析,表示由威胁分析与响应内置的预定义和自定义规则聚合生成的告警记录。

  3. 在目标告警的操作列单击详情,查看告警的详细信息。

    支持查看告警的受影响资产、首次发生时间、数据源、告警账号和关联异常。

相关文档

  • 针对已明确定义的安全事件或需迅速处置的简单威胁等,您可以使用威胁分析与响应的响应编排功能,通过预先设定的剧本和规则,联动相关的云产品自动执行安全响应措施。具体操作,请参见响应编排

  • 您可以调用安全事件处置相关的API接口,获取安全事件处置信息、处置安全事件等。具体接口列表,请参见事件处置

  • 本页导读 (1)