Setelah Agentic SOC diaktifkan, Security Center menganalisis log yang diterima dan menghasilkan peringatan. Halaman ini menjelaskan sumber peringatan, batasan yang berlaku, serta cara melihat detail peringatan.
Setelah Anda mengaktifkan Agentic SOC, informasi peringatan keamanan dari Cloud Workload Protection Platform (CWPP) akan dimigrasikan ke direktori peringatan keamanan Agentic SOC. Tinjau dan tangani peringatan tersebut pada tab CWPP. Untuk detailnya, lihat Evaluasi dan tangani peringatan keamanan.
Prasyarat
Sebelum memulai, pastikan Anda telah:
Membeli dan mengaktifkan layanan Agentic SOC. Untuk detailnya, lihat Beli dan aktifkan Agentic SOC.
Menambahkan log dari produk yang diperlukan. Untuk detailnya, lihat Akses produk.
Sumber peringatan
Halaman Alerts diorganisasi ke dalam tab berdasarkan sumber peringatan. Setiap tab menampilkan peringatan dari sumber data yang berbeda.
| Tab | Sumber data |
|---|---|
| Aggregate and Analyze Alerts | Peringatan yang dihasilkan oleh Agentic SOC dari log yang Anda masukkan, berdasarkan aturan bawaan. |
| Custom Alert Analysis | Peringatan yang dihasilkan oleh Agentic SOC dari log yang Anda masukkan, berdasarkan aturan kustom Anda. |
| CWPP | Peringatan deteksi dan pertahanan intrusi Security Center untuk host dan kontainer. Lihat Peringatan keamanan - CWPP (Cloud Workload). |
| Cloud Firewall | Log peringatan dari Alibaba Cloud Firewall dan firewall pihak ketiga (seperti Tencent Cloud, Huawei Cloud, dan Fortinet) yang ditambahkan ke Agentic SOC. |
| WAF | Log peringatan dari Alibaba Cloud Web Application Firewall (WAF) dan produk WAF pihak ketiga (seperti Tencent Cloud, Huawei Cloud, dan Fortinet) yang ditambahkan ke Agentic SOC. |
| EDR | Log peringatan dari layanan Endpoint Detection and Response (EDR) pihak ketiga yang ditambahkan ke Agentic SOC, seperti Sangfor aES. |
| Others | Semua log peringatan lain yang ditambahkan ke Agentic SOC, tidak termasuk log Security Center, Cloud Firewall, WAF, dan EDR. |
Peringatan Agentic SOC vs. peringatan CWPP
Peringatan pada tab CWPP berperilaku berbeda dibandingkan peringatan pada semua tab lainnya. Perbedaan utamanya terletak pada metode deteksi dan opsi penanganan.
| Dimensi | Peringatan Agentic SOC (semua tab kecuali CWPP) | Peringatan CWPP (hanya tab CWPP) |
|---|---|---|
| Metode deteksi | Agentic SOC menganalisis log yang diterima berdasarkan aturan bawaan dan kustom. | Security Center mendeteksi intrusi menggunakan model deteksi ancaman pada aktivitas host dan kontainer. |
| Penanganan individual | Tidak dapat ditangani secara individual — peringatan hanya bisa dilihat. | Dapat ditangani secara individual. Aksi yang didukung mencakup pemindaian trojan, pemagaran, pemblokiran, dan penambahan ke daftar putih. |
| Penanganan insiden | Tangani insiden keamanan — kumpulan agregat peringatan Agentic SOC — untuk mengatasi ancaman. | Tangani baik peringatan individual maupun insiden keamanan agregat. |
Retensi peringatan
Peringatan Agentic SOC (semua tab kecuali CWPP) disimpan sebagai berikut:
30 hari secara default.
180 hari jika peringatan memicu aturan pembuatan event dan menghasilkan event.
Peringatan akan dihapus secara otomatis saat periode retensinya berakhir.
Mengapa peringatan Agentic SOC tidak dapat ditangani secara individual
Peringatan Agentic SOC bersifat stateless: setiap peringatan dihasilkan langsung dari data log yang Anda masukkan tanpa merujuk pada status peringatan historis. Agentic SOC menganalisis dan membuat keputusan berdasarkan data log yang ditambahkan, tanpa bergantung pada data historis untuk menghasilkan peringatan baru.
Untuk merespons ancaman keamanan yang diidentifikasi oleh peringatan Agentic SOC, gunakan fitur penanganan insiden keamanan. Insiden keamanan mengagregasi peringatan terkait menjadi rantai serangan lengkap, sehingga Anda dapat menerapkan aksi respons pada tingkat insiden. Untuk detailnya, lihat Tangani insiden keamanan dan Orkestrasi respons.
Lihat peringatan
Langkah-langkah berikut menggunakan tab Aggregate and Analyze Alerts sebagai contoh.
Masuk ke Konsol Security Center. Di pojok kiri atas, pilih wilayah tempat aset Anda berada: China atau Outside China.Masuk ke Konsol Security Center.
Pada panel navigasi kiri, pilih Agentic SOC > Alert.
Pada tab Aggregate and Analyze Alerts, tinjau daftar peringatan yang dihasilkan oleh aturan bawaan. Untuk setiap peringatan, Anda dapat:
Klik tautan pada kolom Affected Asset untuk melihat detail aset yang terlibat.
Klik tautan pada kolom Malicious Entity untuk melihat elemen atau perilaku yang diurai oleh Agentic SOC—seperti alamat IP, proses, atau file—yang menimbulkan ancaman.
Klik ID pada kolom Associated Event ID untuk membuka event keamanan terkait.
Pada kolom Actions, klik Details untuk membuka panel detail peringatan. Panel ini menampilkan informasi dasar peringatan, aset terdampak, waktu kejadian, dan deskripsi.
Tutorial menangani peringatan virus umum
Penguatan keamanan
Jika Anda mendeteksi ancaman dalam peringatan Anda, terapkan langkah-langkah penguatan berikut untuk mengurangi paparan:
Tingkatkan Security Center: Edisi Enterprise dan Ultimate mendukung isolasi virus otomatis, memberikan pertahanan yang lebih tepat dan rangkaian pemeriksaan keamanan yang lebih luas.
Batasi akses: Buka hanya port yang diperlukan (seperti 80 dan 443). Terapkan daftar putih alamat IP yang ketat pada port manajemen (22 dan 3389) dan port database (3306).
Untuk server ECS Alibaba Cloud, lihat Kelola grup keamanan.
Gunakan kata sandi kuat: Tetapkan kata sandi yang terdiri dari huruf kapital, huruf kecil, angka, dan karakter khusus untuk semua server dan aplikasi.
Perbarui perangkat lunak secara berkala: Perbarui aplikasi ke versi resmi terbaru. Hindari versi yang tidak lagi didukung atau memiliki kerentanan yang diketahui.
Lakukan backup secara berkala: Buat kebijakan snapshot otomatis untuk disk data dan sistem penting.
Untuk server ECS Alibaba Cloud, lihat Buat kebijakan snapshot otomatis.
Perbaiki kerentanan segera: Gunakan fitur Vulnerability Fix di Security Center untuk mengatasi kerentanan penting pada sistem dan aplikasi.
Reset sistem server (gunakan dengan hati-hati): Jika virus telah mengompromikan komponen sistem dasar secara mendalam, backup data Anda dan inisialisasi ulang server. Ikuti langkah-langkah berikut:
Buat snapshot untuk mencadangkan data penting. Lihat Buat snapshot.
Inisialisasi ulang sistem operasi. Lihat Inisialisasi ulang disk sistem.
Buat disk dari snapshot. Lihat Buat disk data dari snapshot.
Sambungkan disk ke server yang telah diinstal ulang. Lihat Sambungkan disk data.
Langkah selanjutnya
Konfigurasikan aturan deteksi peringatan untuk mengagregasi peringatan terkait menjadi insiden keamanan yang menunjukkan rantai serangan lengkap, sehingga mengurangi volume peringatan dan meningkatkan efisiensi respons. Lihat Konfigurasikan aturan deteksi ancaman.
Kueri data peringatan keamanan menggunakan API. Lihat Referensi API peringatan keamanan.