Peringatan keamanan - Security Center

Setelah Anda mengaktifkan Agentic SOC, Security Center menganalisis dan memproses log di Agentic SOC untuk menghasilkan peringatan dan insiden. Fitur Peringatan keamanan memungkinkan Anda mengelola catatan peringatan dari berbagai produk keamanan secara terpusat. Topik ini menjelaskan fitur Peringatan keamanan Agentic SOC dan cara melihat data peringatan.

Catatan

Setelah Anda mengaktifkan Agentic SOC, informasi peringatan keamanan dari Cloud Workload Protection Platform (CWPP) akan dimigrasikan ke direktori peringatan keamanan Agentic SOC. Anda dapat melihat dan menangani peringatan tersebut pada tab CWPP. Untuk informasi selengkapnya tentang cara menangani peringatan, lihat Evaluasi dan tangani peringatan keamanan.

Prasyarat

Anda telah membeli dan mengaktifkan layanan Cloud Threat Detection and Response (Agentic SOC). Untuk informasi selengkapnya, lihat Beli dan aktifkan Agentic SOC.
Anda telah menambahkan log dari produk yang diperlukan. Untuk informasi selengkapnya, lihat Akses produk.

Sumber peringatan

Tabel berikut menjelaskan sumber data untuk peringatan pada berbagai tab halaman Alerts.

Tab	Deskripsi sumber data
Aggregate and Analyze Alerts	Agentic SOC melakukan analisis mendalam terhadap log yang Anda tambahkan dan menghasilkan peringatan berdasarkan aturan yang telah ditentukan.
Custom Alert Analysis	Agentic SOC melakukan analisis mendalam terhadap log yang Anda tambahkan dan menghasilkan peringatan berdasarkan aturan kustom yang telah ditetapkan.
CWPP	Peringatan keamanan dari Security Center terkait pendeteksian intrusi dan pertahanan pada host dan kontainer. Untuk informasi selengkapnya, lihat Peringatan keamanan - CWPP (Cloud Workload).
Cloud Firewall	Log peringatan Alibaba Cloud Cloud Firewall yang telah ditambahkan ke Agentic SOC. Log peringatan firewall dari vendor cloud dan keamanan pihak ketiga yang telah ditambahkan ke Agentic SOC, seperti firewall Tencent Cloud, Huawei Cloud, dan Fortinet.
WAF	Log peringatan Alibaba Cloud Web Application Firewall yang telah ditambahkan ke Agentic SOC. Log peringatan Web Application Firewall dari vendor cloud dan keamanan pihak ketiga yang telah ditambahkan ke Agentic SOC, seperti firewall Tencent Cloud, Huawei Cloud, dan Fortinet.
EDR	Log peringatan dari layanan Endpoint Detection and Response (EDR) pihak ketiga yang telah ditambahkan, seperti log peringatan Sangfor aES.
Others	Log peringatan lain yang telah ditambahkan ke Agentic SOC, tidak termasuk log peringatan Security Center, log firewall, log Web Application Firewall, dan log EDR.

Perbandingan antara peringatan Agentic SOC dan peringatan CWPP

Perbedaan	Peringatan Agentic SOC (bukan peringatan CWPP)	CWPP alerts
Sumber peringatan	Peringatan dihasilkan dengan menganalisis dan memproses log yang ditambahkan ke Agentic SOC berdasarkan aturan yang telah ditentukan dan aturan kustom. Catatan Peringatan pada tab selain tab CWPP.	Peringatan terkait pendeteksian intrusi dan pertahanan pada host dan kontainer dideteksi menggunakan model deteksi ancaman. Catatan Semua peringatan pada tab CWPP.
Dapat ditangani	Peringatan Agentic SOC tidak dapat ditangani secara individual. Anda hanya dapat melihat peringatan tersebut. Anda dapat menangani insiden keamanan yang merupakan kumpulan peringatan Agentic SOC.	Peringatan CWPP dapat ditangani secara individual. Metode penanganannya mencakup pemindaian trojan, pemagaran, pemblokiran, dan penambahan ke daftar putih. Anda dapat menangani insiden keamanan yang telah diagregasi.

Periode retensi peringatan

Peringatan disimpan selama 30 hari. Jika suatu peringatan memicu aturan pembuatan event dan menghasilkan event, peringatan tersebut disimpan selama 180 hari. Peringatan akan dihapus secara otomatis setelah periode retensinya berakhir.

Catatan

Periode retensi peringatan di atas berlaku untuk peringatan Agentic SOC. Peringatan ini ditampilkan pada semua tab kecuali tab CWPP.

Petunjuk penanganan peringatan

Peringatan Agentic SOC bersifat tanpa status dan tidak dapat ditangani. Agentic SOC menganalisis dan membuat penilaian berdasarkan data log yang ditambahkan. Layanan ini tidak bergantung pada data historis untuk menghasilkan peringatan baru.
Anda dapat menggunakan fitur penanganan insiden keamanan Agentic SOC untuk mengatasi ancaman keamanan terhadap aset Anda. Untuk informasi selengkapnya, lihat Tangani insiden keamanan dan Orkestrasi tanggapan.

Lihat peringatan

Prosedur berikut menjelaskan cara melihat peringatan. Topik ini menggunakan peringatan pada tab Aggregate and Analyze Alerts sebagai contoh.

Masuk ke Konsol Security Center. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: China atau Outside China.
Di panel navigasi sebelah kiri, pilih Agentic SOC > Alert.
Pada tab Aggregate and Analyze Alerts, lihat peringatan yang dihasilkan berdasarkan aturan yang telah ditentukan.
- Untuk melihat aset terdampak dari suatu peringatan, klik tautan pada kolom Affected Asset untuk melihat detail aset yang terdampak.
- Untuk melihat entitas berbahaya yang menghasilkan peringatan, klik tautan pada kolom Malicious Entity untuk melihat elemen atau perilaku yang diurai oleh Agentic SOC dan mengancam keamanan sistem. Entitas berbahaya mencakup alamat IP, proses, dan file yang memulai serangan.
- Untuk melihat event terkait dari suatu peringatan, klik ID pada kolom Associated Event ID untuk melihat detail event terkait.
Pada kolom Actions untuk suatu peringatan, klik Details untuk melihat detailnya.
Anda dapat melihat informasi dasar, aset terdampak, waktu kejadian, dan deskripsi peringatan tersebut.

Tutorial cara menangani peringatan virus umum

Solusi pengerasan keamanan

Tingkatkan Security Center: Edisi Enterprise dan Ultimate mendukung isolasi virus otomatis, yang menyediakan pertahanan presisi dan lebih banyak item pemeriksaan keamanan.
Perketat kontrol akses: Buka hanya port layanan yang diperlukan, seperti 80 dan 443. Konfigurasikan daftar putih alamat IP yang ketat untuk port manajemen, seperti 22 dan 3389, serta port database, seperti 3306.
Catatan
Untuk server ECS Alibaba Cloud, lihat Kelola Security Groups.
Tetapkan kata sandi server yang kompleks: Buat kata sandi kompleks yang terdiri dari huruf kapital, huruf kecil, angka, dan karakter khusus untuk server dan aplikasi Anda.
Perbarui perangkat lunak: Segera perbarui aplikasi Anda ke versi resmi terbaru. Hindari penggunaan versi lama yang tidak lagi didukung atau memiliki kerentanan keamanan yang diketahui.
Lakukan backup berkala: Buat kebijakan snapshot otomatis untuk disk sistem dan data penting.
Catatan
Jika Anda menggunakan server ECS Alibaba Cloud, lihat Buat kebijakan snapshot otomatis.
Perbaiki kerentanan segera: Secara berkala gunakan fitur Vulnerability Fix di Security Center untuk segera memperbaiki kerentanan sistem dan aplikasi yang penting.
Reset sistem server (gunakan dengan hati-hati).
Jika virus telah menginfeksi sistem secara mendalam dan merusak komponen sistem dasar, kami sangat menyarankan agar Anda mencadangkan data penting terlebih dahulu, lalu mereset server. Lakukan langkah-langkah berikut:
1. Buat snapshot untuk mencadangkan data penting di server. Untuk informasi selengkapnya, lihat Buat snapshot.
2. Inisialisasi ulang sistem operasi server. Untuk informasi selengkapnya, lihat Inisialisasi ulang disk sistem.
3. Buat disk dari snapshot tersebut. Untuk informasi selengkapnya, lihat Buat data disk dari snapshot.
4. Pasang disk tersebut ke server tempat Anda menginstal ulang sistem operasi. Untuk informasi selengkapnya, lihat Pasang data disk.

Referensi

Setelah Anda menambahkan log dari layanan cloud, Anda dapat mengonfigurasi aturan deteksi peringatan untuk mengagregasi beberapa peringatan keamanan terkait menjadi insiden keamanan yang menunjukkan rantai serangan lengkap. Hal ini mengurangi jumlah peringatan dan meningkatkan efisiensi analisis serta tanggapan terhadap peringatan. Untuk informasi selengkapnya, lihat Konfigurasi aturan deteksi ancaman.
Anda dapat memanggil operasi API untuk peringatan keamanan guna mengkueri informasi peringatan keamanan. Untuk daftar operasi API tersebut, lihat Peringatan keamanan.