如何使用威胁分析统一管理告警日志_云安全中心-阿里云帮助中心

云安全中心威胁分析支持多来源的告警及日志进行聚合分析，并为您提供统一的安全运营视图，帮助您快速发现和响应安全事件，提高业务安全性。本文介绍如何使用威胁分析功能。

应用场景

云安全中心威胁分析是一种云原生安全信息和事件管理解决方案，支持采集阿里云上多账号、多产品的安全日志及告警，并基于预定义和自定义的安全检测规则对多来源的告警及日志进行聚合分析。同时，威胁分析支持结合资源管理服务的可信服务功能，实现多账号告警的统一管理，提升安全运营效率。

云安全中心威胁分析典型应用场景：

跨账号、跨产品数据的统一归集与审计
威胁分析可以将多个云账号和云产品的日志数据统一归集，您可以直接通过管理员账号的云安全中心控制台查阅数据，方便审计和监测跨平台的安全事件。
统一威胁运营与监测
威胁分析提供全局视野，可以在一个云安全中心控制台对多个云产品进行威胁监测和运营管理，帮助企业以更高效的方式发现和响应安全事件。
全局视野风险分析与告警降噪
威胁分析提供全局规范化日志数据能力，通过对告警数据进行聚合和筛选，降低告警的数量和频率，实现告警降噪的目的。
安全事件自动化响应与处置
威胁分析提供告警的自动响应和处置机制，帮助您快速响应和解决安全事件，提高整体的安全性能。

前提条件

已开通并授权威胁分析服务。
如何开通及授权威胁分析服务
1. 访问云安全中心购买页。
2. 设置威胁分析为是，并修改需要购买的威胁分析日志存储量。
3. 登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
4. 在左侧导航栏，选择检测响应 > 威胁分析。
5. 在威胁分析页面，单击立即授权。
  授权后，云安全中心将自动创建服务关联角色AliyunServiceRoleForSasCloudSiem，云安全中心威胁分析功能使用此角色访问您其他云产品中的资源。
需要接入威胁分析的云产品已开通日志服务。具体操作，请参见云产品对应的官网文档，或者在接入云产品的页面，单击查看日志开通文档。

如果您需要接入第三方云厂商账号（当前支持华为云和腾讯云），您需要先登录第三方云平台，创建子账号，并为子账号授予威胁分析所需的权限。

华为云子账号配置

创建两个自定义策略。具体操作，请参见创建自定义策略。

说明

华为云创建自定义策略时，暂不支持同时选择全局级云服务和项目级云服务，因此需要拆分为两条策略，便于授权时设置最小授权范围。

siemBasePolicy：对应全局级云服务权限。策略配置内容如下：

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:roles:listRoles",
                "iam:roles:getRole",
                "iam:groups:listGroupsForUser",
                "iam:groups:listGroups",
                "iam:users:getUser",
                "iam:groups:getGroup"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rms:resources:list",
                "rms:resources:summarize"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:GetBucketLocation",
                "obs:bucket:HeadBucket",
                "obs:object:GetObjectVersionAcl",
                "obs:bucket:ListAllMyBuckets",
                "obs:bucket:ListBucket",
                "obs:object:GetObjectVersion",
                "obs:object:GetObjectAcl"
            ]
        }
    ]
}

siemNormalPolicy：对应项目级云服务权限。策略配置内容如下：

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cfw:ipGroup:list",
                "cfw:acl:list",
                "cfw:ipMember:put",
                "cfw:ipMember:create",
                "cfw:ipGroup:create",
                "cfw:instance:get",
                "cfw:ipGroup:put",
                "cfw:ipMember:list",
                "cfw:ipGroup:get",
                "cfw:ipMember:delete"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "waf:whiteBlackIpRule:list",
                "waf:whiteBlackIpRule:put",
                "waf:ipgroup:get",
                "waf:whiteBlackIpRule:get",
                "waf:ipgroup:list",
                "waf:whiteBlackIpRule:create",
                "waf:whiteBlackIpRule:delete"
            ]
        }
    ]
}

创建用户组siemUser和readonlyuser，并为用户组授予需要的权限（如下表所示）。具体操作，请参见创建用户组并授权。

用户组	需要授予的权限
siemUser	自定义策略权限：siemBasePolicy、siemNormalPolicy
readonlyuser	LTS ReadOnlyAccess：云日志服务只读权限。 OBS OperateAccess：具有对象存储服务（OBS）查看桶列表、获取桶元数据、列举桶内对象、查询桶位置、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限。 OBS ReadOnlyAccess：只有对象存储服务（OBS）查看桶列表、获取桶元数据、列举桶内对象、查询桶位置权限，无其他权限。 CFW ReadOnlyAccess：云防火墙服务只读权限。 WAF ReadOnlyAccess：Web应用防火墙只读权限。

创建一个IAM用户，并将IAM用户关联到siemUser用户组。具体操作，请参见创建IAM用户。
为IAM用户创建访问密钥。具体操作，请参见管理IAM用户访问密钥。

腾讯云子账号配置

通过策略语法创建一个自定义策略siemPolicy。具体操作，请参见通过策略语法创建自定义策略。

siemPolicy策略配置内容如下：

{
    "statement": [
        {
            "action": [
                "cfw:DescribeAclApiDispatch",
                "cfw:DescribeBorderACLList",
                "cfw:CreateAcRules"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "waf:DescribeDomains",
                "waf:DescribeIpAccessControl",
                "waf:DeleteIpAccessControl",
                "waf:UpsertIpAccessControl",
                "waf:PostAttackDownloadTask"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "ckafka:DescribeDatahubGroupOffsets",
                "ckafka:DescribeGroup",
                "ckafka:DescribeGroupInfo",
                "ckafka:DescribeGroupOffsets",
                "ckafka:CreateDatahubGroup",
                "ckafka:ModifyDatahubGroupOffsets",
                "ckafka:ListConsumerGroup"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "cam:GetUser",
                "cam:CheckSubAccountName",
                "cam:CheckUserPolicyAttachment",
                "cam:GetAccountSummary",
                "cam:GetPolicy",
                "cam:GetPolicyVersion",
                "cam:ListAllGroupsPolicies",
                "cam:ListAttachedGroupPolicies",
                "cam:ListAttachedRolePolicies",
                "cam:ListAttachedUserAllPolicies",
                "cam:ListAttachedUserPolicies",
                "cam:ListGroupsPolicies",
                "cam:ListPolicies",
                "cam:ListUsers"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        }
    ],
    "version": "2.0"
}

创建一个子账号。具体操作，请参见新建子账号。
为创建的子账号关联siemPolicy策略。具体操作，请参见授权管理。
为子账号创建访问密钥。具体操作，请参见子账号访问密钥管理。

（可选）步骤一：接入云账号

如果您要对其他云账号（包括阿里云和第三方云厂商）下的云产品进行统一的告警汇聚和事件管理，您需要先接入先将其他云账号接入到威胁分析。如果您仅需要关联当前阿里云账号下的告警，可跳过此步骤。

说明

仅企业认证账号支持配置多账号安全管理。

接入阿里云账号

您可以使用云安全中心的多账号安全管理功能，对企业中的多个阿里云账号和资源账号进行统一管理和安全防护配置，实时检测各个成员账号的安全风险状况。

重要

仅同一个企业认证的阿里云账号可以加入同一个资源目录，并且一个资源目录下仅可以开通一次威胁分析。如果您的阿里云账号为个人认证账号，威胁分析只能收集当前账号下的日志，您无需配置资源目录服务。

开通资源目录服务，并指定购买云安全中心威胁分析的阿里云账号为委派管理员账号。
1. 使用管理账号登录资源管理控制台。
2. 首次使用资源目录功能时，在左侧导航栏选择资源目录，然后单击开通资源目录，根据页面提示完成资源目录开通。具体操作，请参见开通资源目录。
3. 创建资源目录成员或邀请其他阿里云账号加入资源目录。
  - 创建成员：在左侧导航栏选择资源目录 > 创建成员，创建资源账号，具体操作，请参见创建成员。
  - 邀请成员：选择资源目录 > 邀请成员，添加其他阿里云账号到资源目录，具体操作，请参见邀请阿里云账号加入资源目录。
4. 将购买云安全中心威胁分析的阿里云账号添加为委派管理员账号。
  在左侧导航栏选择资源目录 > 可信服务，在云安全中心-威胁分析的操作列单击管理，将购买云安全中心威胁分析的阿里云账号添加为委派管理员账号。具体操作，请参见添加委派管理员账号。
接入威胁分析监控账号。
1. 登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
2. 在左侧导航栏，选择系统配置 > 多账号安全管理。
3. 如果是首次使用多账号安全管理功能，单击开启云安全中心管控。
  开启成功后，系统会自动在成员账号下创建服务关联角色AliyunServiceRoleForSasRd，该角色用于在多账号场景下允许云安全中心委派管理员访问资源目录成员账号的云安全中心控制台。
4. 在多账号安全管理 > 威胁分析监控账号页签，单击添加账号。
5. 在添加账号面板，在资源目录中的成员账号中选择需要接入威胁分析的阿里云账号，然后单击确定。
6. （可选）在账号列表，为已接入的阿里云账号开启访问授权。
  访问授权将为对应账号开启威胁分析中安全告警和日志分析页面的只读权限。开启后，对应账号仅可见已接入威胁分析且在该账号管控范围内的资源数据。

接入第三方云厂商账号

您需要将第三方云厂商的账号接入到威胁分析，以便威胁分析可以获取第三方云资产的告警日志，实现通过威胁分析统一管理您的多云资产。

登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。
新增第三方云厂商账号授权。
云安全中心通过第三方云厂商的账号AK，获取第三方云资产的读取权限和同步第三方云资产信息。
1. 在左侧导航栏，选择系统配置 > 功能设置。
2. 在多云配置管理 > 多云资产页签，单击新增授权，在下拉列表中，选择需要接入的多云厂商。
3. 在创建子账号向导页面，选择手动配置方案，然后单击下一步。
4. 在提交AK向导页面，输入子账号AK信息，需要接入的资产类型选择威胁分析，然后并单击下一步。
5. 在策略配置向导页面，配置AK服务状态检查的周期，然后单击确定。
6. 单击同步最新资产，将第三方账号下的资产同步到云安全中心。
绑定第三方云厂商账号。
1. 在左侧导航栏，选择威胁分析 > 产品接入。
2. 在多云产品接入区域，移动鼠标到需要绑定的第三方云厂商图标，然后单击账号绑定。
3. 在账号绑定面板，单击新增。
4. 在账号绑定设置面板，输入第三方云厂商的主账号名、主账号ID，并选择授权的账号AK，然后单击绑定账号，并前往绑定数据源。
5. 在数据源设置面板，设置需要接入的不同云产品的数据源，选择接入方式，并根据不同的接入方式设置配置项。
  一个云产品对应一个数据源，数据源的接入方式对应云产品的日志类型。您需要根据接入日志类型，选择数据源的接入方式，具体内容如下表所示。
  云厂商
  需要接入的云产品日志类型
  接入方式
  华为云
  云防火墙告警日志
  Web应用防火墙告警日志
  obs
  腾讯云
  云防火墙告警日志
  ckafka
  Web应用防火墙告警日志
  wafApi

步骤二：将云产品接入威胁分析

您可以自定义设置需要接入的云产品和日志。将云产品和日志接入威胁分析后，才可通过威胁分析统一管理对应云产品的告警、日志数据。

在左侧导航栏，选择威胁分析 > 产品接入。
在云产品列表中，找到需要接入的云产品，在操作列单击接入设置。
在云产品接入面板，选择需要接入的日志类型和云账号。
- 接入阿里云产品的日志类型
  1. 找到需要接入的日志类型，在接入账号列单击选择。
  2. 在选择账号面板，选择需要接入的账号，根据控制台提示确定是否选择LogStore。
    说明
    如果您使用的是个人实名认证账号，选择账号面板仅显示您当前的账号。
    - 如果云产品只支持使用产品定义的LogStore（例如云安全中心），您只需选中账号，无需选择LogStore，云安全中心会自动接入产品定义的LogStore。
    - 如果云产品同时支持使用产品定义和用户自定义的LogStore（例如专有网络VPC），您需要在选中账号后，在LogStore（格式：regionId.project.logStore）下拉列表中选择对应日志存储的LogStore或将自定义的LogStore名称复制到此处。LogStore的填写格式为regionId.project.logStore。
- 接入第三方云产品的日志类型
  1. 找到需要接入的日志类型，在已接入账号单击数值。
  2. 在接入设置对话框，选择需要接入的账号，根据实际需要选择是否开启自动接入新增账号，然后单击确定。
    开启自动接入新增账号后，当有新增的第三方账号时，威胁分析自动接入新增账号对应的云产品的日志类型。

步骤三：管理规则

规则是用于检测和分析云产品日志数据的策略，您可以通过指定日志范围、匹配字段、聚合字段等，定义威胁分析自动检测和分析日志的逻辑，帮助您快速识别出业务系统的安全风险。威胁分析提供预定义规则和自定义规则方式，您可以根据业务需求，开启或关闭预定义规则，以及自定义告警和事件检测规则。

管理预定义规则

云安全中心提供丰富的检测告警和事件的预定义规则，包括：进程异常行为、Web攻击成功、恶意域名请求、异常登录、异常网络流量、恶意网络请求、异常Web行为。您可以查看预定义规则详情、开启或关闭预定义规则，不允许编辑和删除预定义规则。

在左侧导航栏，选择威胁分析 > 规则管理。
将规则类型的筛选条件置为预定义。
您可以根据需要执行以下操作。
- 查看预定义规则详情
  在目标预定义规则操作列单击详情，查看规则的基本信息和事件生成设置。
- 开启或关闭预定义规则
  在目标预定义规则启用状态列单击开关图标，开启或关闭规则。

新增自定义规则

如果预定义规则不能满足所有检测需求，您可以参考以下步骤新增自定义规则。

在左侧导航栏，选择威胁分析 > 规则管理。

单击新增规则，然后在新增规则页面配置规则信息。

配置项	描述
基本信息	设置自定义规则的基本信息。规则名称：输入自定义规则的名称。规则描述：输入规则用途的描述，方便您了解规则。威胁等级：在下拉列表中选择规则检测出的告警或事件的风险等级。关于风险等级的更多说明，请参见事件风险等级说明。威胁类型：在下拉列表中选择规则定义的威胁类型。告警类型的说明，请参见安全告警类型列表。
规则逻辑设置	设置对安全告警的聚合规则。日志范围：选择自定义规则生效的日志分类和日志类型。根据接入的云产品类型，云安全中心会提供对应的日志类型供您选择。匹配字段：选择告警或事件匹配的字段及字段值。云安全中心会根据您选择的日志范围提供可匹配的字段。查看字段操作符的说明 >：大于，支持数字类型字段。 >=：大于等于，支持数字类型字段。 <：小于，支持数字类型字段。 <=：小于等于，支持数字类型字段。 =：等于，支持数字和字符串类型字段。 <>：不等于，支持数字与字符串类型字段。 LIKE：用法与SQL语法中的like一致，支持字符串类型字段。 NOT LIKE：LIKE语义取否，支持字符串类型字段。 IN：in集合，多个字段用半角逗号（,）分隔，支持字符串类型字段。 NOT IN：in取否，多个字段用半角逗号（,）分隔，支持字符串类型字段。 REGEXP：正则判断，支持字符串类型字段。 NOT REDEXP：正则模式取否，支持字符串类型字段。 THREAT DETECT：威胁检测规则，只支持验证src_ip、dst_ip、domain、url、md5字段。在威胁检测数据库匹配指定字段，如果命中返回true。在一个字段组下支持配置多条字段，单击+ 新增字段可配置多个字段。多个字段之间以“与”关系生效。单击+ 新增字段组可以配置多个字段组。多个字段组之间以“或”关系生效。聚合字段：选择事件的聚合字段。日志数量阈值：日志字段触发告警的阈值条件。统计周期：设置告警聚合的时间周期。云安全中心将根据聚合字段对统计周期内的日志类型进行聚合。
事件生成设置	设置该规则检测到的告警是否转化为事件。选择是，该规则命中的告警才会被转化为事件。支持选择以下事件生成方式：使用内置事件规则：该规则命中的告警会聚合到预定义事件（指由预定义规则生成的事件）中。每个告警生成一个事件：每个告警均会生成一个事件。所有由该规则生成的告警聚合为一个事件：该规则命中的告警自动聚合为一个事件。选择该项时，您需要配置告警聚合为一个事件的执行周期，最多可设置24小时。

（可选）单击测试并选择测试方式，测试规则是否生效。
支持选择以下测试方式：
- 模拟数据：选择该测试方式需要您自行编写SQL语句测试命中数据，可参考模拟数据值的示例编写SQL语句。完成模拟数据值编写后，单击进行测试。
- 业务数据：选择该方式会将真实产生的业务数据用于规则测试。单击进行测试即可查看该规则展示的告警及事件数量折线图、告警及事件列表。
测试默认会运行7天。您也可以单击上线或结束测试提前结束测试。单击上线后该规则会立即生效；单击结束测试后，您需要单击图标返回规则管理页面，云安全中心会创建该规则并且该规则为禁用状态。
如果您未执行测试操作，在新增规则页面，确认规则无误后，单击上线。
如无需规则立即上线，您可以单击保存为草稿保存规则内容。

创建自定义规则后，您可以在规则管理页面查看规则详情、测试、启用、禁用、编辑和删除规则。

自定义规则配置示例

以下是常用场景的自定义规则配置示例：

SQL注入攻击（联合注入）

配置项	配置示例
基本信息
规则名称	sql_injection
规则描述	SQL注入攻击（联合注入）
威胁等级	高危
威胁类型	异常网络流量
规则逻辑设置
日志范围	日志分类选择`HTTP活动`。日志类型选择`ALB流日志`、`CLB7层日志`、`互联网HTTP日志`、`DDoS新BGP高防流日志`、`WAF流日志`、`CDN流日志`、`DDoS高防流日志（老高防）`。
匹配字段	在匹配字段组1第一个字段处分别选择或填入：`request_parameters`、`REGEXP`、`union\b[\s\S]+select\b`。
聚合字段	无需配置。
日志数量阈值	无需配置。
统计周期	无需配置。
事件生成设置
该规则警告转化为事件	是
事件生成方式	所有由该规则生成的告警聚合为一个事件
执行周期	24小时

攻击WAF的扫描器IP

配置项	配置示例
基本信息
规则名称	web_scanner_ip
规则描述	攻击WAF的扫描器IP
威胁等级	高危
威胁类型	恶意网络行为
规则逻辑设置
日志范围	日志分类选择`HTTP活动`。日志类型选择`WAF流日志`。
匹配字段	匹配字段组1中设置以下两个字段：字段一：`status`、`=`、`405`。字段二：`final_plugin`、`=`、`waf`。
聚合字段	domain
日志数量阈值	依次选择或填入：`Count`、`final_rule_type`、`>=`、`2`。
统计周期	2分钟
事件生成设置
该规则警告转化为事件	否

Java进程执行可疑敏感命令

配置项	配置示例
基本信息
规则名称	java_exec_suspicious_command
规则描述	Java进程执行可疑敏感命令
威胁等级	高危
威胁类型	进程异常行为
规则逻辑设置
日志范围	日志分类选择`进程活动`。日志类型选择`进程启动日志`。
匹配字段	匹配字段组1 字段一：`parent_proc_path`、`like`、`%/java%`。字段二：`proc_path`、`like`、`%/id%`。匹配字段组2 字段一：`parent_proc_path`、`like`、`%/java%`。字段二：`proc_path`、`like`、`%/ifconfig%`。匹配字段组3 字段一：`parent_proc_path`、`like`、`%/java%`。字段二：`proc_path`、`like`、`%/whoami%`。匹配字段组4 字段一：`parent_proc_path`、`like`、`%/java%`。字段二：`proc_path`、`like`、`%/curl%`。匹配字段组5 字段一：`parent_proc_path`、`like`、`%/java%`。字段二：`proc_path`、`like`、`%/wget%`。
聚合字段	无需配置。
日志数量阈值	无需配置。
统计周期	无需配置。
事件生成设置
该规则警告转化为事件	否

主机暴力破解

配置项	配置示例
基本信息
规则名称	host_crack
规则描述	主机暴力破解
威胁等级	高危
威胁类型	异常登录
规则逻辑设置
日志范围	日志分类选择`登录活动`。日志类型选择`主机登录失败日志`。
匹配字段	匹配字段组1中设置以下五个字段：字段一：`src_ip`、`NOT LIKE`、`10.%`。字段二：`src_ip`、`NOT LIKE`、`192.168.%`。字段三：`src_ip`、`NOT REGEXP`、`172\.1[6-9]\.`。字段四：`src_ip`、`NOT REGEXP`、`172\.2[0-9]\.`。字段五：`src_ip`、`NOT REGEXP`、`172\.3[0-1]\.`。
聚合字段	选择`host_uuid`和`src_ip`。
日志数量阈值	依次选择或填入：`Sum`、`connect_count`、`>=`、`5`。
统计周期	3分钟
事件生成设置
该规则警告转化为事件	否

主机连接挖矿域名

配置项	配置示例
基本信息
规则名称	minner_domain
规则描述	主机连接挖矿域名
威胁等级	高危
威胁类型	异常网络连接
规则逻辑设置
日志范围	日志分类选择`DNS活动`。日志类型选择`互联网DNS日志`、`DNS解析日志`。
匹配字段	匹配字段组1中设置以下三个字段：字段一：`dns_query_name`、`LIKE`、`%cryptonight.net%`。字段二：`dns_query_name`、`LIKE`、`%minexmr.org%`。字段三：`dns_query_name`、`LIKE`、`%xmrpool.com%`。
聚合字段	无需配置。
日志数量阈值	无需配置。
统计周期	无需配置。
事件生成设置
生成的告警转化为事件	否

HTTP访问请求突增

配置项	配置示例
基本信息
规则名称	web_access_overload
规则描述	HTTP访问请求突增
威胁等级	高危
威胁类型	异常网络流量
规则逻辑设置
日志范围	日志分类选择`HTTP活动`。日志类型选择`ALB流日志`、`CLB7层日志`、`互联网HTTP日志`、`DDoS新BGP高防流日志`、`WAF流日志`、`CDN流日志`、`DDoS高防流日志（老高防）`。
匹配字段	在匹配字段组1第一个字段处分别选择或填入：`responseparameterKE`、`2%`。
聚合字段	domain
日志数量阈值	依次选择或填入：`count`、`request_url`、`>=`、`60000`。
统计周期	1分钟
事件生成设置
生成的告警转化为事件	否

步骤四：处置事件

威胁分析根据采集到的安全信息数据和安全告警聚合规则，分析并展示聚合后的安全事件。您可以在事件处置页面及时查看并手动处理安全威胁事件，提高您资产的安全性。

事件风险等级说明

风险等级	描述
高危	该事件所描述的行为表示发现了明确的恶意行为或实体，此次事件极可能是一次成功的入侵行为，对您的资产已经造成了不良影响，例如进程异常行为-反弹Shell，建议您立即查看该事件并及时处理。
中危	中危为中置信度的成功攻击事件。该事件所描述的行为，表示发现了一些疑似恶意的行为或实体，此次事件有可能是一次成功的入侵行为，可能已经对您的资产造成了不良影响，也有可能是部分不寻常的运维行为导致的，例如异常登录等。该风险等级表示您的资产有一定概率正在受到攻击，建议您查看该事件详情，进一步判断是否存在风险并进行相应处理。
低危	低危为低置信度的成功或不一定成功的攻击事件。该事件所描述的行为，表示此次事件有一定概率是一次成功的入侵行为，或是代表您的资产正在遭受外部的持续攻击探测，例如来自106.11.XX.XX的访问。如果您对资产的安全等级要求较高，可以关注该等级的安全事件。

查看事件详情

说明

同一个事件多次被检测到时，如果已经存在的事件状态为未处理，则在该事件中新增告警；如果已经存在的事件状态为处理中、处理完成或处理失败，则会新建一个事件，并在新事件中新增告警。

在左侧导航栏，选择威胁分析 > 事件处置。
在事件处置页面，在目标事件的操作列单击详情。

在事件详情页面的不同页签下查看该事件的详细信息。

页签	描述
事件信息	该页签展示事件的风险等级、所有者（所属的阿里云账号）、事件描述、发生时间和受影响资产等基本信息。如需查看受影响资产的详细信息，您可以在受影响的资产列表找到目标主机资产，移动鼠标到主机资产操作列的详情处，查看该主机资产的资产名称、公网IP、私网IP、操作系统等信息。
攻击时间线	该页签按照时间线方式展示该事件相关的告警。您可以单击对应告警图标，查看告警的详细信息。通过攻击时间线可以了解事件的发展过程，为您处理并规避此类事件提供更多详细信息。
事件告警	该页签展示聚合成该事件的安全告警列表。在目标告警操作列单击详情，即可查看该告警的详细信息和关联异常。
事件溯源	该页签是以事件为源头的自动化溯源可视图。威胁分析支持自动化事件溯源，可对事件进行自动化溯源并提供原始数据预览。事件溯源功能结合多种云产品日志，通过大数据分析引擎对数据进行加工、聚合、可视化，形成事件的发生链路图，帮助您在最短的时间内定位事件发生原因和制定事件处理策略。单击事件中的节点，即可查看对应节点的详细信息。单击事件溯源页签右上角的、、图标，可下载当前页面展示的事件溯源图片、设置溯源图样式、查看节点图例。

手动处置安全事件

及时处理威胁分析事件可以提高系统的安全性，建议您及时处理风险等级为高危的安全事件。

在左侧导航栏，选择威胁分析 > 事件处置。
在事件处置页面，在目标事件的操作列单击处理。

在事件处理面板，完成以下配置，并单击确定。

配置项	说明
事件状态	修改事件的状态，并设置事件处置备注信息。事件状态不支持手动设置为处理失败。威胁分析在运行事件处置动作失败时，会将该事件的状态置为处理失败。如果已经处理了事件或者明确当前事件无需处理，您可以将事件状态设置为已处理，此时您无需设置事件处置动作和通知策略。
处置动作设置	威胁分析为不同的处置实体提供了内置的处置场景。处置场景中包含了需要联动的云产品和具体的动作，您可以针对不同的处置实体选择合适的处置场景。使用推荐处置策略：单击IP、文件或进程页签后，单击使用推荐处置策略。如果单击使用推荐处置策略后，处置实体没有选中任何处置场景，说明该处置实体没有推荐的处置策略，您需要手动设置处置策略。手动设置处置策略：单击IP、文件或进程页签后，选择待处置的实体，单击实体左侧的图标，设置处置场景、作用域和动作时效。场景：选择针对该实体的可处置场景。作用域：选择该处置场景生效的阿里云账号。动作时效：处置动作的有效时间。仅部分特定的场景支持配置动作时效。
事件处置通知	设置事件处置完成后的通知策略。完成通知策略配置后，您可以在右侧消息预览区域，查看发送的消息预览。

自动处置安全事件

云安全中心提供响应编排功能，您可以通过配置剧本和自动化响应规则，自动批量处理安全威胁事件。具体操作，请参见响应编排。

设置告警加白规则

查看事件详情后，如果您判断某些告警无需处理，并且不希望该告警出现在后续生成的事件中，您可以设置告警的加白规则。设置加白规则后，当新增的告警匹配到加白规则时，告警不再被聚合到安全事件中。

在左侧导航栏，选择威胁分析 > 事件处置。
通过以下方式配置告警加白规则。
- 通过全局加白规则配置页面：在事件处置页面右上角，单击事件加白设置，选择事件加白规则的场景类型，然后在操作列单击编辑。
- 通过事件的加白规则配置页面：在事件处置页面，找到目标事件，在操作列单击加白，在事件加白设置列表，单击右上角的+新建策略组。

配置加白规则。

说明

在一个场景策略组中，您可以配置多条加白策略。同一场景的不同策略以“与”关系生效。
支持创建多个场景策略组，多个场景策略组以“或”关系生效。

配置项	描述	配置示例
场景	威胁分析会提供当前事件可加白的场景供您选择。说明单击+新建策略，可在当前策略组场景下添加多条匹配规则。	策略组一场景：Rootkit 对象一：主机UUID 条件：等于条件值：f6170c02-d55f-4c42-b73f-a394d7a2** 对象二：文件路径条件：包含条件值：/root/md5/4ff73477a06a3412145d1a7e6d9c 策略组二场景：被污染的基础软件对象：主机UUID 条件：等于条件值：f6170c02-d55f-4c42-b73f-a394d7a2**
对象	选择当前场景生效的具体对象。威胁分析会根据您选择的场景提供可供选择的生效对象。
条件条件值	设置加白规则的生效条件和条件值。

步骤五：查看处置中心

威胁分析提供了处置中心模块，从处置实体维度展示事件处置策略和处置任务的管理视图，方便您统一查看告警处置的详情。

什么是处置策略和处置任务

什么是处置策略

处置策略是针对处置实体（即关联告警的主体，包括IP、文件、进程）的告警处置详情。每个处置实体每个处置场景的处置结果均会生成一条处置策略，并展示在处置策略页面。您可以查看处置策略的处置实体、处置场景、作用域等信息。

处置策略的数据来源包括：

在事件处置页面手动处置事件的执行结果。详细信息，请参见步骤四：处置事件。
响应编排剧本的自动化执行结果。详细信息，请参见响应编排。
安全管家服务的响应处置结果。详细信息，请参见什么是安全管家。

什么是处置任务

事件处置中，每个处置实体关联的每个处置场景会按照作用域拆分为多条处置任务，并展示在处置任务页面。您可以查看处置任务的处置实体、处置场景、联动产品、作用域和处置状态等信息，可以实时了解检测出的恶意实体，协同其它云产品的处置情况，例如，通过云防火墙封禁恶意攻击IP的现状是封禁中、失败、成功还是解封失败。

处置策略和处置任务的关系

处置策略是以告警场景为最小单位的告警处置详情；处置任务是以作用域为最小单元的告警处置详情。

例如，在某个事件处置中，您对1个处置实体下的2个场景进行处置，处置作用域分别选择3个账号，则该事件处置完成后，生成的处置策略数量=1*2=2条，生成的处置任务=1*2*3=6条。

查看处置策略

在左侧导航栏，选择威胁分析 > 处置中心。然后单击处置策略页签，查看事件处置策略信息。

在实体对象/特征列单击实体对象，可查看该实体的上下文、阿里云威胁情报、相关告警等信息。
在关联的来源列单击处置策略的来源，可查看该处置策略关联的告警、安全事件或剧本。
在操作列单击查看任务，可进入处置任务页面查看对应处置策略相关联的任务信息。

查看处置任务

在左侧导航栏，选择威胁分析 > 处置中心。然后单击处置任务页签，查看处置任务信息。

如果处置任务关联的处置策略有更新或者处置任务执行失败时，您可以在操作列单击重试，重新执行该任务。
任务执行后，如果有云产品对处置实体IP进行了封禁动作，而您确认过该IP无需封禁时，您可以在操作列单击解除封禁，解除该IP的封禁。

步骤六：搜索日志

开通威胁分析并接入产品后，您可以在日志搜索页面查询不同告警来源的日志信息。

日志的存储地域

威胁分析日志存储在华东2（上海）或新加坡地域。

购买威胁分析后，威胁分析会自动在日志服务的华东2（上海）或新加坡地域创建一个专属Project（命名为aliyun-cloudsiem-data-阿里云账号ID-RegionID），用于存储威胁分析所需要的日志数据。

重要

威胁分析日志的存储地域，取决于您在云安全中心控制台左上角选择的服务所在区域。
- 选择中国时，威胁分析日志将存储在华东2（上海）地域。
- 选择全球（不含中国）时，威胁分析日志将存储在新加坡地域。
您可以登录日志服务控制台查看威胁分析专属Project，请您注意不要误删该Project。
如果误删Logstore，控制台会提示cloud_siem日志库不存在，并且您当前Logstore的所有日志数据会丢失。这种情况下，您需要提交工单重置处理。重置后您需重新开通威胁分析服务才可继续使用。已丢失的日志数据无法恢复。

查询日志分析结果

在左侧导航栏，选择威胁分析 > 日志搜索。
在所有数据源下拉列表，选中需要查看的数据源。
通过查询语句检索日志，并查看日志分析数据。
威胁分析的日志搜索功能和云安全中心日志分析查询方法相同，具体操作，请参见自定义日志查询与分析。

修改日志存储配置

接入威胁分析的云产品日志默认存储天数为180天，您可以根据需要修改存储天数。

在左侧导航栏，选择威胁分析 > 产品接入。
在产品接入页面右上角，单击日志存储管理。
在日志存储管理对话框，修改日志存储天数后，单击确定。

步骤七：查看安全告警

开通威胁分析功能后，安全告警页面将为您展示接入的多账号和多云产品检测到的安全告警，您可以查看安全告警的详细信息。

在左侧导航栏，选择威胁分析 > 安全告警。
说明
如果当前显示的是云安全中心的安全告警处理页面，您可以在页面右上角单击全局安全告警，切换为威胁分析的安全告警页面。
在安全告警页面，在目标告警的操作列单击详情。
在告警详情页面，查看告警的详细信息。
支持查看告警的受影响资产、首次发生时间、数据源、告警账号和关联异常。

云厂商	需要接入的云产品日志类型	接入方式
华为云	云防火墙告警日志 Web应用防火墙告警日志	obs
腾讯云	云防火墙告警日志	ckafka
腾讯云	Web应用防火墙告警日志	wafApi