威脅分析與響應(CTDR)是雲原生的安全資訊和事件管理(SIEM+SOAR)平台。CTDR集中採集並分析多雲環境、多賬戶下的安全日誌與警示,利用內建的檢測規則與AI模型自動探索威脅,並通過自動化的響應編排劇本實現快速處置,以應對傳統安全營運中資料孤島、威脅發現慢、響應處置效率低的問題。
常見應用情境
多雲日誌統一管理
挑戰: 在多雲及混合雲環境下,安全日誌分散在不同平台,格式不一,形成資料孤島。安全團隊缺乏統一的全域視角,難以進行跨雲攻擊溯源和統一審計,營運複雜度高。
解決方案:
統一日誌匯聚:支援通過S3、Kafka等多種方式,高效匯聚跨雲、跨廠商及本地IDC的異構日誌至統一資料池。
智能解析與標準化:通過解析引擎實現靈活的欄位對應,將海量、非結構化的原始日誌即時轉化為統一、標準的資料模型。
全域分析與溯源:基於標準化資料,實現全域統一的威脅檢測、跨雲攻擊溯源與合規審計。
Web入侵溯源
業務挑戰: Web應用遭受入侵後,攻擊者通常會利用多個漏洞、通過多次嘗試來橫向移動和提升許可權。傳統方式下,安全人員需要手動關聯WAF、主機安全、網路流量等多種日誌,過程耗時且容易遺漏關鍵線索。
解決方案:
自動檢測與關聯:CTDR自動採集並分析 Web Application Firewall (WAF) 日誌和主機安全日誌。當發現WebShell上傳行為和異常進程啟動命令時,CTDR能自動將這些獨立的警示關聯為一次完整的“Web入侵”事件。
攻擊路徑還原:事件詳情頁以攻擊時間軸的形式,展示從Web訪問、漏洞利用、WebShell寫入到反彈Shell、執行惡意命令的完整攻擊路徑,協助安全人員掌握攻擊全貌。
自動化響應:可使用內建阿里雲防火牆批量封鎖入方向IP等劇本,聯動Cloud Firewall在互連網邊界封鎖攻擊源IP。
挖礦病毒處置
業務挑戰:挖礦病毒通過消耗大量計算資源牟利,導致企業雲資源成本增加、正常業務效能下降。手動處置流程繁瑣,包括定位進程、查殺檔案、封鎖礦池串連、修複入侵入口等,難以做到快速響應。
解決方案:
精準檢測:CTDR結合主機安全日誌、VPC流日誌和內建的威脅情報,識別挖礦進程(如
xmrig)和與礦池的異常網路連接,並產生“挖礦活動”事件。智能分析:AI智能助手對事件進行分析總結,並基於歷史案例和最佳實務,推薦處置策略,例如“結束惡意進程、封鎖礦池IP”。
自動化響應:使用推薦處置策略,運行劇本結束惡意進程、隔離挖礦檔案。
工作原理及流程
CTDR通過標準化的流程整合多雲、多帳號、多產品和不同安全廠商的日誌,利用威脅檢測規則分析日誌形成安全事件。並利用自動化響應編排能力,聯動相關雲產品對惡意實體執行封鎖、隔離等安全措施,實現快速且有效安全事件處置。核心環節如下:
日誌採集與解析:從雲產品、第三方裝置、業務應用等不同資料來源採集原始日誌。
警示產生:通過內建檢測規則或直接接入第三方產品的原生警示,從海量日誌中識別出潛在的威脅。
事件彙總處置:通過可配置的關聯規則與圖計算模型,將描述同一攻擊行為的多個警示彙總成一個事件。
響應編排:事件根據預設條件自動或手動觸發劇本,調用不同組件的動作,產生處置策略並下發處置任務,以實現自動化響應。
核心概念
實體:警示或事件中涉及的核心對象。實體是關聯不同警示、還原攻擊路徑的基礎。例如:IP地址、網域名稱、檔案雜湊、進程、主機、容器、雲資源ID(如ECS執行個體ID)、使用者帳號等。
事件:CTDR通過內建的規則和圖計算模型,將來自不同資料來源、描述同一攻擊行為的多個警示彙總關聯成一個安全事件,並自動還原攻擊時間軸。
處置策略:以處置情境為最小單位的警示處置詳情。每個處置實體在每個處置情境的處置結果均會產生一條處置策略。
處置任務:以範圍為最小單元的警示處置詳情。在事件處置過程中,每個處置實體的每個處置情境會根據範圍拆分成多個處置任務。
響應編排(:通過自動化的工作流程(即劇本)組織和管理安全響應動作。響應編排能夠根據預設邏輯,自動執行一系列操作,實現安全事件的自動化處置。
劇本:預設的自動化安全工作流程,由流程起點、條件判斷、執行動作和流程終點組成。支援通過圖形化介面拖拽編排,自訂針對特定安全事件(如挖礦、勒索軟體)的響應邏輯。
組件:用於串連和操作外部系統或服務的介面,是劇本中執行具體動作的載體。
資源執行個體:操作的具體服務執行個體,如Cloud Firewall執行個體。
動作:組件的具體執行能力,一個組件可能包含多種動作。以終端管理軟體為例,可能包括如禁用賬戶、隔離網路、發送通知等動作。
產品優勢
威脅分析與響應是一款深度整合AI Agent核心引擎的安全營運平台型解決方案,藉助CTDR安全營運工作可開啟“智能自動駕駛”模式,從人機協防到全自動處置,隨需而變。
高效洞察與彙總,警示收斂率達99.94%
結合全球威脅情報、圖計算及雲原生日誌分析能力,能從海量警示中精準識別新型、未知及隱匿性高的威脅。安全事件平均檢測時間縮短至分鐘級。
秒級自動化響應,處置策略覆蓋率達95%
基於AI Agent核心引擎,提供一鍵式處置策略與開箱即用的自動化劇本(支援自訂),無需手動設定。可協同各類安全產品及基礎設施,對事件、警示進行全自動分析與響應。
自動還原攻擊全貌
運用圖計算和安全大模型,自動溯源並還原完整攻擊路徑與時間軸。
全域統一視野,跨資產事件發現率達90%
統一歸集與處理跨雲、跨帳號、跨產品的日誌資料,大幅降低混合雲安全營運複雜度。通過集中化的管理與審計,提供全域安全洞察,有效簡化資料分析與合規工作。
CTDR安全營運效能
平均檢測時間(MTTD)、平均確認時間(MTTA)與平均回應時間(MTTR)是衡量安全營運效率的核心指標。以下資料基於真實使用者統計,展示 CTDR 在事件處理方面,整體安全營運效能。
效能總覽
指標 | 傳統方式 | CTDR 效能 | 效率提升 |
MTTD(檢測) | 小時級 | 5分鐘 | 從小時級到分鐘級 |
MTTA (確認) | 天級 | 35分鐘 | 從天級到分鐘級 |
MTTR (響應) | 天級 / 周級 | 90分鐘 | 從周/天級到小時內 |
指標詳解
MTTD(Mean Time To Detect)-平均檢測時間
定義:從攻擊發生到首次被系統檢測到的平均耗時。
CTDR 效能:5分鐘
傳統方式:小時級
核心優勢:CTDR 將攻擊的發現時間從小時級壓縮至分鐘級,極大減少了威脅在系統內的潛伏時間,為快速響應贏得先機。
MTTA (Mean Time To Acknowledge) - 平均確認時間
定義:從事件被檢測到安全團隊確認為真實威脅的平均耗時。
CTDR 效能:35分鐘
傳統方式:天級
核心優勢:事件發生後,CTDR 自動執行調查與威脅溯源,將傳統需要數天的人工研判工作縮短至35分鐘內,實現對真實威脅的快速甄別。
MTTR (Mean Time To Respond) - 平均回應時間
定義:從威脅被確認到完成處置並恢複系統的平均耗時。
CTDR 效能:90分鐘。
傳統方式:天級或周級。
核心優勢:通過自動化預設劇本,CTDR 可在秒級內完成從確認到處置的關鍵動作。整體回應時間從數天縮短至90分鐘,使安全團隊能從繁瑣的重複操作中解放,聚焦於更深度的威脅分析與防禦體系加固。
支援接入的產品和日誌
威脅分析與響應CTDR預設支援阿里雲、華為雲、騰訊雲、飛塔、長亭、深信服等廠商的日誌,同時支援自訂產品接入。
威脅分析與響應CTDR提供的預設接入策略、資料來源、標準化規則詳情,請前往控制台查看。
廠商 | 產品名稱 | 日誌類型 |
阿里雲 | Security Center |
|
Web Application Firewall (WAF) | WAF全量/攔截/攔截和觀察日誌、反爬蟲全量日誌、API安全事件警示日誌、API風險日誌、WAF警示日誌 | |
Cloud Firewall | Cloud Firewall警示日誌、Cloud Firewall流量日誌、NDR-HTTP日誌、NDR-DNS日誌、NDR-事件警示日誌 | |
Anti-DDoS | DDoS高防全量日誌 | |
Bastionhost | Bastionhost日誌 | |
CDN | CDN流日誌 | |
Edge Security Acceleration (ESA) | DCDN 使用者訪問日誌、DCDN WAF攔截日誌 | |
API Gateway | API Gateway日誌 | |
Container Service for Kubernetes (ACK) | K8s審計日誌 | |
PolarDB | PolarDB-X 1.0 SQL審計日誌、PolarDB-X 2.0 SQL審計日誌 | |
ApsaraDB for MongoDB | MongoDB審計日誌 | |
雲資料庫 RDS(Relational Database Service) | RDS SQL審計日誌 | |
Virtual Private Cloud (VPC) | VPC流日誌 | |
Elastic IP Address (EIP) | Elastic IP Address日誌 | |
Server Load Balancer (SLB) | ALB訪問日誌、CLB訪問日誌 | |
Object Storage Service (OSS) | OSS訪問日誌 | |
ActionTrail | Action Trail事件記錄 | |
CloudConfig | 配置審計日誌 | |
File Storage NAS | NAS NFS作業記錄 | |
騰訊雲 | Web Application Firewall | 騰訊雲Web Application Firewall警示日誌 |
Cloud Firewall | 騰訊云云防火牆警示日誌 | |
華為雲 | Web Application Firewall | 華為雲Web Application Firewall警示日誌 |
Cloud Firewall | 華為云云防火牆警示日誌 | |
Azure | windows defender for endpoint | 終端警示日誌 |
Azure Active Directory | 審計日誌、登入日誌 | |
activity | 審計日誌 | |
sql database | SQL Server審計日誌 | |
亞馬遜(AWS) | CloudTrail(亞馬遜雲Action Trail) | cloudtrail日誌 |
Redshift | Redshift審計日誌 | |
GuardDuty | GuardDuty finding警示日誌 | |
PostgreSQL on Amazon RDS(亞馬遜Postgres) | PostgreSQL事件記錄 | |
火山雲 | 資訊安全中心 | hids警示日誌 |
飛塔 | 飛塔防火牆 | 飛塔防火牆警示日誌、飛塔防火牆流日誌、飛塔審計日誌 |
長亭 | 長亭WAF | 長亭WAF警示日誌、長亭WAF流日誌 |
微軟 | 終端事件記錄 | windows security event日誌 |
深信服 | 深信服統一端點安全管理系統aES(EDR) | 端點檢測與響應警示日誌 |
山石網科 | 山石網科防火牆 | 山石網科防火牆警示日誌 |
鬥象科技 | 鬥象全流量安全計算分析平台 | 鬥象全流量安全計算分析平台產品警示日誌 |
天空衛士 | dlp | dlp警示日誌 |
微軟雲 | 微軟雲活動目錄 | 微軟雲活動目錄審計日誌、微軟雲活動目錄登入審計日誌 |
微步 | onesec | onesec警示日誌 |
思科 | 思科Firepower防火牆 | 防火牆警示日誌 |
Paloalto | 下一代防火牆 | 防火牆警示日誌 |
Cortex XDR | Paloalto Coretex 警示日誌、終端類警示日誌 | |
Panorama | panorama產品日誌 | |
億格雲 | 北極星 | 內網4層網路訪問日誌、資料審計日誌 |
自訂廠商 | 自訂產品 | 防火牆警示日誌、防火牆流量日誌、WAF警示日誌、WAF流量日誌 |
版本升級說明
自2025年4月3日開通威脅分析與響應CTDR(Cloud Threat Detection and Response)服務的使用者,可享受升級後的架構。
CTDR 2.0升級架構以日誌標準化能力構建為基礎,複用Log ServiceSLS能力,實現第三方雲廠商、IDC線下安全廠商日誌快速接入,降低了日誌資料接入的難度。
CTDR 2.0和CTDR1.0的主要差異請參見威脅分析與響應版本對比。
常見問題
CTDR 與傳統 SIEM 有什麼區別?
CTDR是面向雲原生環境的SIEM解決方案,相比傳統SIEM,其核心區別在於:
雲原生整合:整合阿里雲及主流雲廠商的各類產品,能夠理解雲上資產、配置和拓撲關係,實現基於內容相關的分析。
內建SOAR能力:整合了安全編排、自動化與響應(SOAR)引擎,不僅能分析和檢測威脅,還能通過劇本聯動雲產品和基礎設施進行自動化處置,形成“分析-響應”的閉環。
內建情境化方案:提供大量針對雲上高頻攻擊情境(如挖礦、勒索、Web入侵)的內建檢測規則和響應劇本,開箱即用。