Security Center的威脅分析與響應CTDR(Cloud Threat Detection and Response)能夠集中管理來自多雲環境、多賬戶和多產品的警示和日誌資料,並且通過處置策略及時處理安全威脅,協助您提高安全營運效率,規避潛在風險。
CTDR使用流程簡介
威脅分析與響應CTDR(Cloud Threat Detection and Response)處理安全威脅的流程如下:
開通CTDR服務。
接入雲產品或安全廠商的日誌。
設定並開啟預定義或自訂的威脅檢測規則,深入分析收集到的日誌,識別並還原出完整的攻擊鏈路。
識別安全威脅產生安全警示。
彙總多個安全警示產生安全事件。
根據處置策略(推薦處置策略、自訂處置策略)或者自動化響應編排,聯動相關雲產品對惡意實體執行封鎖、隔離等安全措施。
目前僅阿里雲、華為雲、騰訊雲接入日誌可產生安全事件,並完成事件自動處理。其他安全廠商日誌僅能形成安全警示,而且不支援自動處理。更多資訊可參見接入安全廠商日誌。
使用範例
本文以CTDR利用自動化響應編排實現使用WAF自動化封鎖攻擊IP為例,解決使用Web Application FirewallWAF(Web Application Firewall)封鎖攻擊IP時,常見誤封正常使用者、配置複雜等問題。
前提條件
在WAF控制台接入需防護的網域名稱或雲產品。本文以WAF接入ECS執行個體為例,操作樣本圖如下,詳細步驟可參考為ECS開啟WAF防護。
在WAF控制台開啟Log Service,並為WAF防護對象開啟日誌投遞。操作樣本圖如下,詳細步驟可參考開啟WAFLog Service。
操作步驟
步驟一:開通威脅分析與響應隨用隨付
登入Security Center控制台,在威脅分析與響應頁面,單擊开通按量付费。
在服務開通頁面,取消開啟日志接入策略的勾選,單擊立即開通並授權。
重要接入策略會為您自動接入Security Center、Web Application Firewall、Cloud Firewall、Action Trail的日誌,並將根據實際的日誌接入量進行計費,請謹慎勾選。本文以單一接入Web Application Firewall,不開啟推薦接入策略為例。
開通後自動完成Security Center服務關聯角色的授權,更多資訊可參見Security Center服務關聯角色。
步驟二:接入Web Application Firewall日誌
若您在步驟一中勾選了開啟日志接入策略,CTDR會自動接入Web Application Firewall日誌,無需再手動設定,可忽略本步驟。
配置WAF告警日志。單擊已接入帳號列,並選擇需要接入的帳號,點擊確定。
配置WAF3.0全量/攔截/攔截和觀察日誌。
單擊已接入帳號列,在接入帳號設定頁面填寫相關資訊。
本文以WAF選擇隨用隨付模式,所屬地區為華東1(杭州)為例。
项目(Project):
wafnew-project-阿里雲帳號ID-cn-hangzhou。日誌庫(Logstore):
wafnew-logstore。說明更多關於WAF記錄項目名稱和日誌庫資訊,請參考WAF專屬的記錄項目(Project)和預設日誌庫(Logstore)。
單擊检验有效性,驗證綁定的日誌庫是否正確。驗證通過後,單擊儲存。
步驟三:開啟預定義檢測規則
在預定義頁簽,搜尋WAF關聯的規則後開啟啟用狀態開關。
步驟四: 配置自動化響應規則
在自動響應規則頁簽,單擊新增規則。選擇事件觸發後,參考下圖完成自動響應規則的建立。
步驟五:確認自動攔截效果
等待WAF已接入的ECS發生了攻擊事件,您可以在安全事件處置頁面查看對應的事件。
在處置中心頁簽,可查看事件命中自動響應規則後,運行劇本對攻擊IP下發的處置策略和處置任務。
自動響應規則建立的處置策略
自動響應規則建立的處置任務
在Web Application Firewall控制台,查看CTDR自動新增的攻擊IP攔截規則。
下述步驟以WAF 3.0控制台為例介紹操作步驟。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地、非中國內地)。
在左側導覽列,選擇。
在Web 核心防護頁面自訂規則地區,查看CTDR自動下發的攻擊IP攔截規則。
相關文檔
若您想詳細瞭解關於CTDR購買的配置,請參見購買Security Center。
若您想詳細瞭解威脅檢測規則,請參見配置威脅檢測規則。
若您想詳細瞭解響應編排資訊,請參見響應編排。