云时代下，IT环境复杂多样、数据碎片化、安全处置响应速度慢，难以检测复杂攻击、合规要求等问题都使得安全运营难度上升，企业急需一个威胁分析与响应系统，集中处理来自多云环境、多账户和多产品的告警和日志数据，快速响应并处理攻击行为。云安全中心威胁分析与响应是一款云原生安全信息和事件管理解决方案，主要提供日志标准化、告警生成、聚合分析、事件响应编排等平台级能力。

功能介绍

产品核心处理流程

威胁分析与响应通过集成多云、多账号、多产品和不同安全厂商的日志，利用预定义和自定义的威胁检测规则，深入分析收集到的日志，从而识别并还原出完整的攻击链路，并形成详细的安全事件。在检测到安全威胁时，威胁分析与响应能够启动自动化响应编排，联动相关云产品对恶意实体执行封禁、隔离等安全措施，以实现快速且有效的安全事件处置。

使用流程

1. 购买并开通CTDR

CTDR支持以包年包月和按量付费的方式开通服务。本文以包年包月购买方式为例介绍购买和开通的具体步骤。按量付费方式可参考步骤一：开通威胁分析与响应按量付费，CTDR的计费说明，请参见计费概述。

登录云安全中心控制台。
在左侧导航栏，选择检测响应 > 威胁分析与响应。
在威胁分析与响应页面，单击开通包年包月。
在购买页面，参考下述说明配置购买参数，单击立即下单并完成支付。
以下是您需要设置的购买项，其他购买项您可以按需选择或设置。更多信息，请参见购买云安全中心。
- 购买方式：包年包月
- 版本选择：仅采购增值服务
- 威胁分析与响应：
  - 是否选购：选择是。
  - 日志接入流量：设置为100 GB/天。
  - 日志存储容量：设置为1000 GB。
  - 关联角色：单击创建服务关联角色。
  - 接入策略：选中开启威胁分析与响应的推荐产品日志接入策略，开启后根据实际使用量进行计量。

2. 云产品接入

若您使用了推荐日志接入策略，无需您手动配置，CTDR会自动接入当前阿里云账号的云安全中心、Web应用防火墙、云防火墙和操作审计产品的日志。接入的数据源及支持的安全能力如下表所示。

重要

只有在您购买了云安全中心防病毒版、高级版、企业版或旗舰版时，系统才会自动为您接入操作审计事件日志。未购买云安全中心付费版本时，系统将不会自动为您接入操作审计事件日志。
若您未开启推荐日志接入策略或需要接入第三方云产品日志，请参见接入云产品日志。

序号	阿里云产品	数据源	标准化日志分类	支持的安全能力

序号	阿里云产品	数据源	标准化日志分类	支持的安全能力
1	云安全中心	安全告警日志	安全日志-告警日志	预定义分析规则事件调查溯源响应处置联动
2		漏洞日志	安全日志-漏洞日志	事件调查溯源
3		基线日志	安全日志-主机基线日志	事件调查溯源
4		登录流水日志	登录日志-主机登录日志	事件调查溯源
6		文件读写日志	主机日志-进程文件读写日志	事件调查溯源
7		进程启动日志	主机日志-进程启动日志	预定义分析规则事件调查溯源
8		DNS请求日志	主机日志-进程请求DNS日志	预定义分析规则事件调查溯源
9		网络连接日志	主机日志-进程网络外联日志	预定义分析规则事件调查溯源
10	Web应用防火墙	WAF告警日志	安全日志-Web应用防火墙告警日志	预定义分析规则事件调查溯源响应处置联动
11		WAF2.0全量/拦截/拦截和观察日志	网络日志-HTTP日志	预定义分析规则
12		WAF3.0全量/拦截/拦截和观察日志	网络日志-HTTP日志	预定义分析规则
13	云防火墙	云防火墙实时告警日志	安全日志-防火墙告警日志	预定义分析规则事件调查溯源响应处置联动
14	操作审计	操作审计事件日志	审计日志-云平台操作审计日志	事件调查溯源

3. 开启日志投递（可选）

所有已接入CTDR的日志均可通过日志管理功能进行存储。如果您有日志分析、溯源或等保合规的需求，建议您按照以下步骤开启所需日志类型的投递。只有开启日志投递后，您才可以使用CTDR日志管理、规则管理（自定义规则）、仪表板功能。更多信息，请参见日志管理。

在左侧导航栏，选择威胁分析与响应 > 产品接入。
在产品接入页面右上角，单击日志管理设置。
在日志投递管理区域，打开需要投递的日志类型投递到热数据/启停时间列下的开关。
您可以选中多个日志类型后，单击批量投递。
在日志管理页面，打开目标日志类型右侧的开关，也可以直接开启该日志类型到存储空间的投递。

4. 管理威胁检测规则

威胁分析与响应通过内置预定义检测规则和自定义检测规则，能够深入分析已接入的日志，识别潜在的威胁攻击链路和时间线，并生成详细的安全事件报告。

预定义规则

自定义规则

CTDR默认会启用所有预定义规则。预定义规则仅在指定的日志范围内进行威胁检测。您可以在威胁分析与响应 > 规则管理页面查看和调整预定义规则的启用状态。

若您按照步骤3开启了日志投递，则可根据自己的业务需求自定义威胁检测规则，具体操作请参见新增自定义规则。

5.生成安全警告

当威胁攻击命中开启的预定义规则或自定义规则，会生成对应的安全告警信息。您可以在威胁分析与响应 > 安全告警页面聚合分析告警和自定义分析告警页签，查看预定义规则和自定义规则生成的告警。

6. 生成并处理安全事件

安全事件生成机制

安全事件是由预定义规则或自定义规则将关联的多个安全告警聚合而成的，以便您能快速识别并响应安全威胁。安全事件根据告警产生设备分为以下两类：

网络侧：CTDR聚焦于黑客的探测行为（如扫描或踩点），将网络侧产生的告警通过预定义规则生成事件，以防止攻击者进一步探测用户信息。
主机侧：CTDR通过图计算技术，将主机侧具有关联性的告警（如相同MD5值或父进程ID）聚合生成事件，帮助用户快速定位攻击入口并响应。

重要

并非所有告警都会生成安全事件，只有满足以下条件的告警才会触发事件生成：

主机侧的告警都会生成安全事件；网络侧的告警只有命中预定义规则或自定义规则的事件聚合策略，对应的告警才会生成安全事件。
如果设置了事件加白规则，则命中加白规则的告警不会生成事件。
如果仅开启了预定义规则，只有命中预定义规则中的图计算和专家规则的告警才会生成事件。

查看安全事件

您可以在威胁分析与响应 > 安全事件处置页面，单击目标事件操作列的详情，查看事件详情、时间线、安全告警、关联实体、智能助手说明等详细信息。通过对详情页信息的分析，判断该事件是否需要处理。更多信息，请参见查看事件详情并判断是否需处置事件。

区域	说明

区域	说明
概览区域	介绍该事件的基本信息及ATT&CK攻击阶段。您可以在该区域查看事件的受影响资产数、生成方式、关联告警数、检测规则、关联账号、发生时间、告警来源等信息。
时间线页签	您可以在该页签查看形成该安全事件告警攻击时间线和溯源图。单击全屏模式，可全屏查看该事件的攻击时间线和溯源图。在全屏模式下，单击对应告警图标，可以查看告警的详细信息。在某些情况下，您可以在溯源图中查看到具体的攻击入侵点
安全告警页签	您可以在该页签查看聚合成该事件的安全告警列表。通过多维度的告警统计数据（包括告警数量、防御措施、发生时间等），您可以获取更多信息，以判断该攻击使用的方法、攻击所处阶段并决定相应的处理方式。
实体页签	展示该事件中涉及到的实体对象，支持展示的实体类型包括主机、文件、进程、IP地址和主机账户等。通过查看该事件涉及到的所有实体，可查看IP地址实体的基础信息、阿里云威胁情报、近30天关联的事件、近30天关联的告警和关联的处置任务，以此判断哪些是恶意实体，哪些是受到攻击影响的资产。
响应活动页签	展示对该事件响应和处置的详细记录。
智能助手区域	由云安全中心AI大模型提供的对话能力，提供安全事件总结、相关IP的威胁情报、影响资产详情等信息。

处置安全事件

云安全中心支持通过使用推荐处置策略手动处理或自动响应编排自动处理安全事件。

手动处置安全事件：通过人工审核安全事件，并根据安全事件的严重性和实际情况采取相应的安全措施。适用于复杂度高、需要专业判断的安全事件，或者对于新型、未知的威胁，需要人工来识别和应对。
自动处置安全事件：通过预先设定的剧本和规则，系统自动执行安全响应措施，如隔离受感染的主机、封锁可疑IP地址等。适用于处理已知、定义明确的安全事件，或者对于需要快速响应的低复杂度威胁（如自动化处理大量相似的低级别告警）。

手动处置安全事件

自动化处置安全事件

针对识别到的恶意实体，CTDR依据恶意实体的检测来源设备或可防御设备，提供了一键创建推荐处置策略的功能。该功能能够自动生成处置任务并运行处置剧本，通过与阿里云多种安全产品的联动，快速、高效地处置安全事件。例如使用内置阿里云WAF封禁入方向高危IP，使用内置阿里云云安全中心隔离高危文件等。

下表介绍推荐处置策略中支持处置的实体，以及处置剧本联动的云产品的具体模块。

实体类型	推荐处置剧本	联动产品	联动产品模块
IP地址	内置阿里云WAF封禁入方向高危IP	阿里云Web应用防火墙	设置自定义防护策略（WAF 2.0）自定义规则（WAF 3.0）
	内置阿里云防火墙封禁出方向高危IP	阿里云云防火墙	配置互联网边界访问控制策略
	内置阿里云防火墙封禁入方向高危IP	阿里云云防火墙	配置互联网边界访问控制策略
文件	内置阿里云云安全中心隔离高危文件	阿里云云安全中心	查看和处理安全告警
进程	内置阿里云云安全中心结束高危进程
	内置阿里云云安全中心通过CMD结束高危进程
	内置阿里云云安全中心结束并隔离高危进程
	内置阿里云云安全中心通过MD5结束高危进程
容器	内置阿里云云安全中心停止高危容器
主机	内置阿里云安全组封禁入方向高危IP	阿里云云服务器ECS安全组	管理安全组规则
主机	内置阿里云安全组禁止主机全部出方向流量	阿里云云服务器ECS安全组	管理安全组规则
域名	内置阿里云云安全中心恶意行为防御封禁恶意域名	阿里云云安全中心	恶意行为防御

操作步骤

在左侧导航栏，选择威胁分析与响应 > 安全事件处置。
在安全事件处置页面，在目标事件的操作列单击响应 > 使用推荐处置策略。
在使用推荐处置策略面板，选中需处置的恶意实体，并单击确定，并更新事件状态。
支持修改推荐策略生效的实体和动作时效。您可以在使用推荐处置策略面板，单击对应实体操作列的编辑，在编辑策略面板，修改封禁规则下发的目标账号、动作时效等参数。
在更新事件状态对话框，选择事件状态为处理中或已处理，单击确定。
- 处理中：选择该项表示除当前的处置操作外，还存在其他与事件处置相关的动作，例如止血、溯源、修复漏洞等。
- 已处理：选择该项表示，除了当前的处置操作之外，没有其他后续的处置相关动作。
完成该步骤操作后，CTDR将自动创建处置策略并执行处置任务，如果处置任务执行失败，事件状态将更新为处理失败。否则，事件状态将更新为您在此处设置的状态。
在该事件详情的响应活动 > 处置策略页签，可以查看CTDR自动生成的推荐处置策略详情。

自动响应规则能够在触发告警或事件时自动执行预定义的响应动作。这些规则可以针对特定的安全事件类型（如恶意软件感染、入侵尝试等）执行相应的响应动作（如隔离恶意文件、中断网络连接等）。在新增自动响应规则后，系统将依据设定的策略自动匹配新增的安全事件。匹配成功后，CTDR将立即执行预设的剧本，从而加快对安全威胁的响应与缓解速度。更多信息请参见响应编排。

说明

在配置自动响应规则时，如需安全技术专家的专业指导，建议您购买安全管家企业版服务。更多信息，请参见什么是安全管家。

下文以使用自动响应规则处理WAF侧检测到的网络攻击告警所产生的事件，并在WAF产品侧下发IP封禁的操作为例。

前提条件

已将阿里云WAF告警日志接入CTDR。接入云产品日志的具体操作，请参见接入阿里云云产品日志。
已完成与业务相关请求的白名单配置，以避免业务请求被拦截。具体操作，请参见设置告警加白规则。

操作步骤

在左侧导航栏，选择威胁分析与响应 > 响应编排。
在响应编排页面自动响应规则页签，单击新增规则。
在创建自动响应规则面板，参考下图配置响应规则，并单击确定。
在响应编排页面自动响应规则页签，打开已创建规则启用状态列的开关启用规则。
等待WAF已接入域名有攻击事件发生。已接入WAF的域名被攻击后，您可以在安全事件处置页面查看对应的事件。
在处置中心页签，可查看事件命中自动响应规则后，运行剧本对攻击IP下发的处置策略和处置任务。
- 自动响应规则创建的处置策略
- 自动响应规则创建的处置任务
在Web应用防火墙控制台，查看CTDR自动新增的攻击IP拦截规则。
下述步骤以WAF 3.0控制台为例介绍操作步骤。
1. 登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。
2. 在左侧导航栏，选择防护配置 > Web 核心防护。
3. 在Web 核心防护页面自定义规则区域，查看CTDR自动下发的攻击IP拦截规则。