Security Center的Agentic SOC能夠集中管理來自多雲環境、多賬戶和多產品的警示和日誌資料,並且通過處置策略及時處理安全威脅,協助您提高安全營運效率,規避潛在風險。
Agentic SOC使用流程簡介
Agentic SOC處理安全威脅的流程如下:
開通Agentic SOC服務。
接入雲產品或安全廠商的日誌。
設定並開啟預定義或自訂的威脅檢測規則,深入分析收集到的日誌,識別並還原出完整的攻擊鏈路。
識別安全威脅產生安全警示。
彙總多個安全警示產生安全事件。
根據處置策略(推薦處置策略、自訂處置策略)或者自動化響應編排,聯動相關雲產品對惡意實體執行封鎖、隔離等安全措施。
目前僅阿里雲、華為雲、騰訊雲接入日誌可產生安全事件,並完成事件自動處理。其他安全廠商日誌僅能形成安全警示,而且不支援自動處理。更多資訊可參見接入安全廠商日誌。
使用範例
本文以Agentic SOC利用自動化響應編排實現使用WAF自動化封鎖攻擊IP為例,解決使用Web Application FirewallWAF(Web Application Firewall)封鎖攻擊IP時,常見誤封正常使用者、配置複雜等問題。
前提條件
在WAF控制台接入需防護的網域名稱或雲產品。本文以WAF接入ECS執行個體為例,操作樣本圖如下,詳細步驟可參考為ECS執行個體開啟WAF防護。
在WAF控制台開啟Log Service,並為WAF防護對象開啟日誌投遞。操作樣本圖如下,詳細步驟可參考開啟WAFLog Service。
操作步驟
步驟一:開通Agentic SOC隨用隨付
登入Security Center控制台,在威脅分析與響應頁面,單擊開通隨用隨付。
在服務開通頁面,取消開啟日志接入策略的勾選,單擊立即開通並授權。
警告接入策略會自動接入Security Center、Web Application Firewall、Cloud Firewall、Action Trail的日誌,並將根據實際的日誌接入量進行計費,請謹慎勾選。本文以單一接入Web Application Firewall,不開啟推薦接入策略為例。
開通後自動完成Security Center服務關聯角色的授權,更多資訊可參見Security Center服務關聯角色。
步驟二:接入Web Application Firewall日誌
若在步驟一中勾選了開啟日志接入策略,Agentic SOC會自動接入Web Application Firewall日誌,無需再手動設定,可忽略本步驟。
訪問Security Center控制台-Agentic SOC-接入中心,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
單擊Web Application Firewall操作列的接入設定,並開啟接接入策略。
說明系統將自動探索Web Application Firewall的日誌庫並寫入對應的資料來源。
步驟三:開啟預定義檢測規則
在預定義頁簽,搜尋WAF關聯的規則後開啟啟用狀態開關。
步驟四: 配置自動化響應規則
在自動響應規則頁簽,單擊新增規則。選擇事件觸發後,參考下圖完成自動響應規則的建立。
步驟五:確認自動攔截效果
等待WAF已接入的ECS發生了攻擊事件,您可以在安全事件處置頁面查看對應的事件。
在處置中心頁簽,可查看事件命中自動響應規則後,運行劇本對攻擊IP下發的處置策略和處置任務。
自動響應規則建立的處置策略
自動響應規則建立的處置任務
在Web Application Firewall控制台,查看Agentic SOC自動新增的攻擊IP攔截規則。
下述步驟以WAF 3.0控制台為例介紹操作步驟。
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地、非中國內地)。
在左側導覽列,選擇。
在Web 核心防護頁面自訂規則地區,查看Agentic SOC自動下發的攻擊IP攔截規則。
相關文檔
若您想詳細瞭解關於Agentic SOC購買的配置,請參見購買Security Center。
若您想詳細瞭解威脅檢測規則,請參見配置威脅檢測規則。
若您想詳細瞭解響應編排資訊,請參見響應編排。