Disposal Center menyederhanakan respons keamanan dengan mengabstraksikan tindakan menjadi kebijakan disposisi dan tugas disposisi yang distandarkan. Fitur ini menyediakan tampilan terpusat untuk mengelola dan mengaudit semua tindakan respons, baik yang dieksekusi secara manual maupun dipicu oleh aturan otomatis.
Konsep utama
Entity Object: Objek inti yang terlibat dalam suatu alert atau insiden, seperti alamat IP, nama domain, hash file, proses, host, container, ID sumber daya cloud (misalnya ID instans Elastic Compute Service (ECS)), dan akun pengguna.
Handling Component: Alat atomik yang menjalankan operasi keamanan tertentu. Setiap komponen bertanggung jawab atas satu tindakan minimal, seperti memblokir alamat IP atau mengkarantina file.
Script: Alur kerja keamanan otomatis yang terdiri dari satu atau beberapa Handling Component. Script ini telah menetapkan jalur respons lengkap, mulai dari kondisi pemicu dan logika keputusan hingga tindakan eksekusi.
Handling Policies: Mewakili keputusan respons keamanan yang lengkap. Saat playbook dipicu, sistem akan menghasilkan kebijakan disposisi yang menentukan entitas mana yang menjadi target (What), playbook mana yang dijalankan (How), dan di mana respons tersebut berlaku (Where).
CatatanHandling Policies dan Handling Tasks memiliki hubungan satu-ke-banyak. Satu Handling Policies dapat berkorespondensi dengan beberapa Handling Tasks.
Handling Tasks: Catatan eksekusi dari kebijakan disposisi pada target tertentu, seperti akun cloud atau sumber daya. Ini merupakan unit eksekusi spesifik yang diturunkan dari kebijakan dan menyediakan hasil detail (sukses atau gagal) dari satu operasi.
Ikhtisar
Aktivitas responsSumber data
Data di Disposal Center (kebijakan disposisi dan tugas disposisi) dihasilkan dalam skenario berikut:
Jika Anda belum mengaktifkan Agentic SOC
Manual Handling Event: Tangani event keamanan secara manual menggunakan opsi Use Recommended Handling Policy, Run Playbook, atau Add to Whitelist (aturan respons otomatis). Untuk informasi selengkapnya, lihat Menilai dan menangani event keamanan CWPP.
Jika Anda telah mengaktifkan Agentic SOC
Manual Handling Event: Anda dapat menangani event keamanan secara manual menggunakan opsi Use Recommended Handling Policy, Run Playbook, atau Add to Whitelist (aturan respons otomatis). Untuk informasi selengkapnya, lihat Menilai dan menangani event keamanan Agentic SOC.
Incident Trigger Playbook: Playbook dieksekusi berdasarkan aturan respons otomatis yang telah ditentukan sebelumnya di Response Rules. Aturan ini dipicu oleh Event Occurrence atau Event Update, lalu mengeksekusi aksi Run Playbook. Untuk informasi selengkapnya, lihat Aturan respons otomatis.
Alert Trigger Playbook:
Playbook dieksekusi berdasarkan aturan respons otomatis yang telah ditentukan sebelumnya di Response Rules. Aturan ini dipicu oleh Alert Occurrence dan mengeksekusi aksi Run Playbook. Untuk informasi selengkapnya, lihat Aturan respons otomatis.
Manual Execution Playbook: Di Response Rules, Anda dapat secara manual Run Custom Playbook dan Predefined Playbook tertentu. Untuk informasi selengkapnya, lihat Panduan konfigurasi playbook.
Periode retensi data
Secara default, data kebijakan disposisi dan tugas disposisi disimpan selama 90 hari.
Jika layanan Agentic SOC Anda kedaluwarsa atau dibatalkan, data yang dihasilkan oleh layanan tersebut hanya disimpan selama 15 hari. Kami menyarankan agar Anda melakukan backup atau migrasi data terlebih dahulu.
Prosedur
Menampilkan kebijakan disposisi
Masuk ke Konsol Security Center.
Di panel navigasi kiri, pilih . Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.
CatatanJika Anda telah mengaktifkan layanan Agentic SOC, jalur navigasi berubah menjadi .
Pada tab Handling Policies, tampilkan informasi tentang kebijakan disposisi insiden keamanan.
Entity Object: Klik nama Entity Object untuk kebijakan target guna melihat konteksnya, intelijen ancaman Alibaba Cloud, alert terkait, dan informasi lainnya.
Associated Source: Klik entri di kolom Associated Source untuk melihat alert, insiden keamanan, atau playbook yang terkait dengan kebijakan disposisi tersebut.
View Task: Di kolom Actions, klik View Task untuk menuju halaman Handling Tasks dan melihat informasi tugas yang terkait dengan kebijakan disposisi tersebut.
Lihat Script: Klik nama Script untuk melihat detailnya, seperti riwayat eksekusi dan publikasi, deskripsi dasar, serta komponen alur kerja yang dikonfigurasi.
CatatanAnda harus mengaktifkan Agentic SOC untuk melihat informasi playbook.
Menampilkan dan mengelola Handling Tasks
Lihat tugas pembuangan
Tab Handling Tasks menampilkan informasi berikut:
Entity Object: Klik nama Entity Object untuk tugas target guna melihat konteksnya, intelijen ancaman Alibaba Cloud, alert terkait, dan informasi lainnya.
Handling Component: Komponen disposisi dalam playbook yang dieksekusi untuk menangani ancaman keamanan. Untuk informasi lebih lanjut tentang komponen disposisi umum, lihat Lampiran: Komponen disposisi keamanan umum.
Lihat Script: Klik nama Script untuk melihat detailnya, seperti riwayat eksekusi dan publikasi, deskripsi dasar, serta komponen alur kerja yang dikonfigurasi.
CatatanAnda harus mengaktifkan Agentic SOC untuk melihat informasi playbook.
Task Status: Jika status tugas adalah Failed, arahkan kursor ke ikon
di sampingnya untuk melihat alasan kegagalannya.
Manage Handling Tasks
Retry: Untuk mencoba ulang tugas yang gagal, klik Retry di kolom Actions.
CatatanJika tombol Retry berwarna abu-abu, tugas tersebut tidak dapat dicoba ulang.
Unblock: Jika tugas memblokir alamat IP, klik Unblock di kolom Actions untuk menghapus blokir tersebut. Lakukan ini hanya setelah Anda memastikan alamat IP tersebut tidak lagi menjadi ancaman.
Penagihan
Fitur Disposal Center tidak dikenai biaya secara terpisah. Akses ke fitur ini sudah termasuk dalam edisi berbayar Security Center.
Pengguna langganan: Anda dapat menggunakan fitur ini dengan membeli langganan ke edisi berbayar apa pun.
Pengguna bayar sesuai penggunaan: Anda dapat menggunakan fitur ini dengan mengaktifkan modul bayar sesuai penggunaan apa pun.
Beberapa tindakan disposisi mungkin berinteraksi dengan produk cloud berbayar lainnya, seperti Web Application Firewall (WAF), CDN, dan Anti-DDoS Proxy, atau menimbulkan biaya tambahan untuk panggilan API. Untuk informasi penagihan selengkapnya, lihat dokumentasi harga produk cloud terkait.
Lampiran: Komponen disposisi keamanan umum
Identifier | Description |
AegisKillProcess | Komponen Security Center untuk menghentikan proses |
AegisDeepCleanUp | Komponen Security Center untuk pemindaian malware mendalam |
AegisQuaraFile | Komponen Security Center untuk mengkarantina file |
AegisKillQuara | Komponen Security Center untuk menghentikan proses dan mengkarantina file terkait |
AliyunFirewallProcess | Komponen Cloud Firewall untuk memblokir alamat IP inbound |
SasOfflineCheck | Komponen Security Center untuk investigasi host offline |
RegionCLBProcess | Komponen pemblokiran Alibaba Cloud Classic Load Balancer (CLB) |
RegionALBProcess | Komponen pemblokiran Alibaba Cloud Application Load Balancer (ALB) |
CDNProcess | Komponen pemblokiran Alibaba Cloud CDN |
AliyunWafBlockIP | Komponen Alibaba Cloud WAF untuk memblokir alamat IP inbound |
SecurityPolicyBlockIP | Komponen security group Alibaba Cloud untuk memblokir alamat IP inbound |
CfwWhiteListBatch | Komponen Cloud Firewall untuk menambahkan alamat IP inbound ke allowlist |
WafWhiteListBatch | Komponen Alibaba Cloud WAF untuk menambahkan alamat IP ke allowlist |
TencentCFWBlockIP | Komponen Tencent Cloud Firewall untuk memblokir alamat IP berisiko tinggi |
HuaWeiRegionCfwBlockIP | Komponen Huawei Cloud Firewall untuk memblokir alamat IP berisiko tinggi |
TencentWafBlockIP | Komponen Tencent Cloud WAF untuk memblokir alamat IP berisiko tinggi |
HuaWeiWafBlockIP | Komponen Huawei Cloud WAF untuk memblokir alamat IP berisiko tinggi |
DcdnWafBanIP | Komponen DCDN WAF untuk memblokir alamat IP |
AegisStopContainer | Komponen Security Center untuk menghentikan container |
AliNetBlockIP | Komponen Security Center untuk menambahkan alamat IP ke daftar blokir pertahanan perilaku berbahaya |
AliNetBlockDNS | Komponen Security Center untuk menambahkan nama domain ke daftar blokir pertahanan perilaku berbahaya |
AliNetWhiteIP | Komponen Security Center untuk menambahkan alamat IP ke daftar izin pertahanan perilaku berbahaya |
AliNetWhiteDNS | Komponen Security Center untuk menambahkan nama domain ke daftar izin pertahanan perilaku berbahaya |
AliyunCFWBlockDNS | Komponen Cloud Firewall untuk memblokir nama domain jahat arah keluar |
AliyunDDoSProxyBlockIP | Komponen Anti-DDoS Proxy untuk memblokir alamat IP |
AliyunDDoSProxyWhiteIP | Komponen Anti-DDoS Proxy untuk menambahkan alamat IP ke allowlist |
AliyunFirewallMonitorIPin | Komponen Cloud Firewall untuk menangani alamat IP inbound dalam mode pemantauan |
AliyunFirewallMonitorIPOut | Komponen Cloud Firewall untuk menangani alamat IP outbound dalam mode pemantauan |
AliYunWafMonitorIP | Komponen Alibaba Cloud WAF untuk menangani alamat IP dalam mode pemantauan |
FAQ
Mengapa tugas disposisi gagal?
Izin tidak mencukupi: Peran RAM yang digunakan untuk operasi tersebut tidak memiliki izin yang diperlukan untuk produk cloud target, seperti WAF atau Cloud Firewall. Untuk mengatasinya, berikan izin yang diperlukan kepada peran tersebut.
Sumber daya tidak ditemukan: Entitas target (seperti host atau container) telah dihapus, atau aturan terkaitnya telah dihapus.
Kuota terlampaui: Jumlah aturan untuk produk cloud target, seperti daftar blokir alamat IP WAF, telah mencapai batasnya.
Batasan lintas akun: Untuk melakukan operasi lintas akun, Anda harus memastikan bahwa kedua akun memiliki verifikasi nama asli perusahaan yang sama dan dikelola bersama dalam Resource Directory. Operasi ini tidak didukung antar akun dengan entitas verifikasi yang berbeda.
Mengapa tombol Retry berwarna abu-abu?
Beberapa tugas disposisi tidak dapat dicoba ulang karena tindakannya tidak dapat dikembalikan.