Setelah mengaktifkan Pendeteksian dan Tanggapan Ancaman Cloud (CTDR), Pusat Keamanan menganalisis dan memproses log dalam CTDR untuk menghasilkan peringatan dan event. Fitur peringatan keamanan memungkinkan Anda mengelola catatan peringatan secara terpusat dari berbagai produk keamanan. Topik ini menjelaskan fitur peringatan keamanan CTDR serta cara melihat data peringatan.
Catatan
Setelah mengaktifkan Pendeteksian dan Tanggapan Ancaman Cloud (CTDR), informasi peringatan keamanan dari Platform Perlindungan Beban Kerja Cloud (CWPP) dipindahkan ke direktori peringatan keamanan CTDR. Anda dapat melihat dan menangani peringatan-peringatan tersebut di tab CWPP. Untuk informasi lebih lanjut tentang penanganan peringatan, lihat Analisis dan Penanganan Peringatan Keamanan.
Prasyarat
Anda telah membeli dan mengaktifkan layanan Pendeteksian dan Tanggapan Ancaman Cloud (CTDR). Untuk informasi lebih lanjut, lihat Pembelian dan Pengaktifan CTDR.
Anda telah menambahkan log dari produk yang diperlukan. Untuk informasi lebih lanjut, lihat Akses Produk.
Sumber peringatan
Tabel berikut menjelaskan sumber data untuk peringatan pada tab yang berbeda di halaman Security Alerts.
Tab | Deskripsi sumber data |
Aggregate and Analyze Alerts | CTDR melakukan analisis mendalam terhadap log yang Anda tambahkan dan menghasilkan peringatan berdasarkan aturan yang telah ditentukan sebelumnya. |
Custom Alert Analysis | CTDR melakukan analisis mendalam terhadap log yang Anda tambahkan dan menghasilkan peringatan berdasarkan aturan kustom yang telah ditetapkan. |
CWPP | Pusat Keamanan memberikan peringatan untuk pendeteksian intrusi dan pertahanan yang terkait dengan host dan kontainer. Untuk informasi lebih lanjut, lihat Peringatan keamanan - CWPP (Cloud Workload). |
Cloud Firewall |
|
WAF |
|
EDR | Log peringatan layanan Endpoint Detection and Response (EDR) pihak ketiga yang ditambahkan, seperti log peringatan Sangfor aES. |
Others | Log peringatan lainnya yang ditambahkan ke CTDR, tidak termasuk log peringatan Pusat Keamanan, log firewall, log Web Application Firewall, dan log EDR. |
Perbandingan antara peringatan CTDR dan peringatan CWPP
Perbedaan | Peringatan CTDR (bukan peringatan CWPP) | CWPP peringatan |
Sumber peringatan | Peringatan dihasilkan dengan menganalisis dan memproses log yang ditambahkan ke CTDR berdasarkan aturan yang telah ditentukan sebelumnya dan aturan kustom. Catatan Peringatan pada tab selain tab CWPP. | Peringatan untuk pendeteksian intrusi dan pertahanan yang terkait dengan host dan kontainer dideteksi menggunakan model deteksi ancaman. Catatan Semua peringatan pada tab CWPP. |
Dapat ditangani |
|
|
Periode retensi peringatan
Peringatan disimpan selama 30 hari. Jika sebuah peringatan memenuhi aturan pembuatan event dan menghasilkan event, maka akan disimpan selama 180 hari. Peringatan akan dihapus secara otomatis setelah periode retensinya berakhir.
Periode retensi peringatan di atas berlaku untuk peringatan CTDR. Peringatan ini ditampilkan di semua tab kecuali tab Cloud Workload Protection Platform (CWPP).
Instruksi penanganan peringatan
Peringatan CTDR bersifat tanpa status dan tidak dapat ditangani. CTDR menganalisis dan membuat keputusan berdasarkan data log yang ditambahkan. Tidak bergantung pada data historis untuk menghasilkan peringatan baru.
Anda dapat menggunakan fitur penanganan insiden keamanan CTDR untuk mengatasi ancaman keamanan terhadap aset Anda. Untuk informasi lebih lanjut, lihat Penanganan Insiden Keamanan dan Orkestrasi Tanggapan.
Lihat peringatan
Prosedur berikut menjelaskan cara melihat peringatan. Topik ini menggunakan peringatan pada tab Aggregate and Analyze Alerts sebagai contoh.
Masuk ke Konsol Pusat Keamanan. Di sudut kiri atas konsol, pilih wilayah tempat aset Anda berada: China atau Outside China.
Di panel navigasi di sebelah kiri, pilih .
Di tab Aggregate and Analyze Alerts, lihat peringatan yang dihasilkan berdasarkan aturan yang telah ditentukan sebelumnya.
Untuk melihat aset terdampak dari sebuah peringatan, klik tautan di kolom Affected Asset untuk melihat detail aset terdampak.
Untuk melihat entitas jahat yang menghasilkan peringatan, klik tautan di kolom Malicious Entity untuk melihat elemen atau perilaku yang diurai oleh CTDR dan mengancam keamanan sistem. Entitas jahat mencakup alamat IP, proses, dan file yang memulai serangan.
Untuk melihat event terkait dari sebuah peringatan, klik ID di kolom Associated Event ID untuk melihat detail event terkait.
Di kolom Actions untuk sebuah peringatan, klik Details untuk melihat detailnya.
Anda dapat melihat informasi dasar, aset terdampak, waktu kejadian, dan deskripsi peringatan.
Tutorial tentang cara menangani peringatan virus umum
Solusi pengamanan keamanan
Tingkatkan Pusat Keamanan
Edisi Enterprise dan Ultimate mendukung isolasi virus otomatis untuk memberikan pertahanan yang akurat. Edisi-edisi ini mendukung pertahanan terhadap ransomware umum, Trojan DDoS, program penambangan, trojan, program jahat, backdoor, dan cacing. Mereka juga mendukung lebih banyak item pemeriksaan keamanan.
Konfigurasikan Grup Keamanan untuk Server
Berikut adalah konfigurasi grup keamanan yang umum. Jika Anda menggunakan Instance ECS Alibaba Cloud, lihat Kelola Grup Keamanan.
Izinkan hanya alamat IP tertentu untuk masuk ke server Anda menggunakan Protokol Desktop Jarak Jauh (RDP) pada Port 3389 atau SSH pada Port 22. Ini mencegah peretas untuk memindai atau meluncurkan serangan brute-force pada port manajemen server Anda.
Di dalam grup keamanan, izinkan akses hanya ke port layanan yang diperlukan, seperti 80 dan 443. Jangan izinkan akses ke port lainnya.
Untuk port database, seperti 1433, 3306, dan 6379, izinkan akses hanya dari alamat IP tertentu. Kami merekomendasikan agar Anda tidak mengekspos port-port ini ke internet.
Tetapkan Kata Sandi Server yang Kompleks
Buat kata sandi yang kompleks yang mencakup huruf besar, huruf kecil, angka, dan karakter khusus. Kata sandi harus memiliki panjang minimal delapan karakter.
Tingkatkan Perangkat Lunak
Secara berkala tingkatkan aplikasi ke versi terbaru. Jangan gunakan perangkat lunak yang sudah usang.
Buat Snapshot Disk
Buat snapshot untuk server penting secara berkala. Jika data hilang, terhapus secara tidak sengaja, atau dirusak oleh peretas dalam suatu kejadian seperti serangan ransomware, Anda dapat menggunakan snapshot untuk memulihkan data Anda. Jika Anda menggunakan Instance ECS Alibaba Cloud, lihat Buat Kebijakan Snapshot Otomatis.
Perbaiki Kerentanan Tepat Waktu
Gunakan fitur perbaikan kerentanan dari Pusat Keamanan untuk memperbaiki kerentanan sistem dan aplikasi berisiko tinggi tepat waktu. Catatan: Sebelum Anda memperbaiki kerentanan, buat cadangan snapshot.
Reset Sistem Server (gunakan dengan hati-hati).
Jika virus menginfeksi sistem secara mendalam dan terkait dengan komponen sistem bawah, kami sangat menyarankan Anda untuk mencadangkan data penting dan kemudian mereset sistem server. Ikuti langkah-langkah berikut:
Buat snapshot untuk mencadangkan data penting di server. Untuk informasi lebih lanjut, lihat Buat Snapshot.
Inisialisasi ulang sistem operasi server. Untuk informasi lebih lanjut, lihat Reinisialisasi Disk Sistem.
Buat disk dari snapshot. Untuk informasi lebih lanjut, lihat Buat Disk Data dari Snapshot.
Pasang disk ke server di mana sistem operasi telah diinstal ulang. Untuk informasi lebih lanjut, lihat Pasang Disk Data.
Referensi
Setelah Anda menambahkan log dari layanan cloud, Anda dapat mengonfigurasi aturan deteksi peringatan untuk menggabungkan beberapa peringatan keamanan terkait menjadi event keamanan yang menunjukkan rantai serangan lengkap. Ini mengurangi jumlah peringatan dan meningkatkan efisiensi analisis dan tanggapan peringatan. Untuk informasi lebih lanjut, lihat Konfigurasi Aturan Deteksi Ancaman.
Anda dapat memanggil operasi API untuk peringatan keamanan untuk menanyakan informasi peringatan keamanan. Untuk daftar operasi API, lihat Peringatan Keamanan.