處置中心通過將安全響應動作抽象為標準化的處置策略和任務,提供了一個集中化的視圖,用於管理和審計所有來源(包括手動執行或自動化規則引發)的響應動作。
核心概念
實體物件:警示或事件中涉及的核心對象。如IP地址、網域名稱、檔案雜湊、進程、主機、容器、雲資源ID(如ECS執行個體ID)、使用者帳號等。
處置組件:執行具體安全操作的原子化工具,負責一項獨立的、最小化的任務(如封鎖IP、隔離檔案)。
劇本:由一個或多個處置組件編排而成的自動化安全工作流程,它預設了從觸發條件、邏輯判斷到執行動作的完整響應路徑。
處置策略:代表一次完整的安全響應決策。當一個劇本被觸發時,系統會產生一條處置策略,用於明確本次響應對哪個實體(What)、執行哪個劇本(How),以及在哪個範圍生效(Where)。
說明處置策略與處置任務是 “一對多” 的關係,一條處置策略可能對應多條處置任務。
處置任務:處置策略在具體目標(如某個雲帳號、某個資源)上的執行記錄。它是一個策略拆分後的具體執行單元,詳細記錄了單次操作的執行結果(成功/失敗)。
功能概述
處置中心資料來源
處置中心的資料(即處置策略與任務)在以下情境中產生:
未開通威脅分析與響應
手動處置事件:使用使用推薦處置策略或運行劇本、加白(自動響應規則)方式手動處理安全事件。具體操作,請參見評估及處理CWPP安全事件。
已開通威脅分析與響應
手動處置事件:使用使用推薦處置策略或運行劇本、加白(自動響應規則)方式手動處理安全事件。具體操作,請參見評估及處理CTDR安全事件。
事件觸發劇本:根據響應編排預設的自動響應規則(觸發方式為事件發生或事件更新,動作為運行劇本)觸發劇本執行。具體操作,請參自動響應規則。
警示觸發劇本:
根據響應編排預設的自動響應規則(觸發方式為警示發生,動作為運行劇本)觸發劇本執行。具體操作,請參自動響應規則。
手動執行劇本:在響應編排中,直接對指定的自訂劇本和預定義劇本,手動執行運行操作。具體操作,請參見劇本配置指南。
資料儲存時間
常規情況下,處置策略與處置任務資料保留90天。
當威脅分析與響應服務到期或退訂後,依賴該服務產生的相關資料僅保留15天,請務必提前做好資料備份或遷移。
操作指南
查看處置策略
左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
說明如果已開通威脅分析與響應服務,左側導覽列入口將變更為。
在處置策略頁簽,查看安全事件處置策略資訊。
實體物件:單擊目標策略的實體物件名稱,可查看該實體的上下文、阿里雲威脅情報、相關警示等資訊。
關聯的來源:單擊目標策略的關聯的來源列資料,可查看該處置策略關聯的警示、安全事件或劇本。
查看任務:在操作列單擊查看任務,可進入處置任務頁面查看對應處置策略相關聯的任務資訊。
查看劇本:單擊目標策略執行的劇本名稱,可查看劇本的詳細資料,如運行和發布歷史、基本描述、劇本配置流程組件等。
說明需開通威脅分析與響應,才能查看劇本資訊。
查看和處理處置任務
查看處置任務
在處置任務頁簽,可查看如下資訊:
實體物件:單擊目標任務的實體物件名稱,可查看該實體的上下文、阿里雲威脅情報、相關警示等資訊。
處置組件:目標策略中實際執行的安全威脅清除操作的劇本組件,常見的處置組件請參見附錄:常見的安全處置組件。
查看劇本:單擊目標策略執行的劇本名稱,可查看劇本的詳細資料,如運行和發布歷史、基本描述、劇本配置流程組件等。
說明需開通威脅分析與響應才能查看劇本資訊。
任務狀態:若任務狀態為失敗,可將滑鼠移至上方在失敗狀態旁邊的
表徵圖,查看失敗原因。
處理處置任務
重試:若任務執行失敗,可嘗試在操作列單擊重試,重新執行該任務。
說明若重試按鈕置灰,表示該任務不支援重試。
解除封鎖:任務執行後,如果有雲產品對處置實體IP進行了封鎖動作,在確認該IP不再構成威脅或無需繼續封鎖後,可以在操作列單擊解除封鎖,解除該IP的封鎖。
計費說明
處置中心功能本身不單獨計費,其使用資格整合在Security Center的付費版本中。
訂用帳戶使用者:開通任意付費版本即可使用此功能。
隨用隨付使用者:開通任意後付費模組即可使用此功能。
部分處置動作可能會聯動其他付費雲產品(如WAF、CDN、DDoS高防等),或產生額外的API調用費用,具體計費請參考相應雲產品的計費說明。
附錄:常見的安全處置組件
組件標識 | 功能說明 |
AegisKillProcess | Security Center結束進程組件 |
AegisDeepCleanUp | Security Center深度查殺組件 |
AegisQuaraFile | Security Center隔離檔案組件 |
AegisKillQuara | Security Center結束進程並且隔離檔案組件 |
AliyunFirewallProcess | 阿里雲防火牆封鎖入方向IP組件 |
SasOfflineCheck | Security Center主機離線排查組件 |
RegionCLBProcess | 阿里雲CLB封鎖組件 |
RegionALBProcess | 阿里雲ALB封鎖組件 |
CDNProcess | 阿里雲CDN封鎖組件 |
AliyunWafBlockIP | 阿里雲WAF封鎖入方向IP組件 |
SecurityPolicyBlockIP | 阿里雲安全性群組封鎖入方向IP組件 |
CfwWhiteListBatch | 阿里雲Cloud Firewall加白入方向IP組件 |
WafWhiteListBatch | 阿里雲WAF加白IP組件 |
TencentCFWBlockIP | 騰訊云云防火牆封鎖高危IP組件 |
HuaWeiRegionCfwBlockIP | 華為Cloud Firewall封鎖高危IP組件 |
TencentWafBlockIP | 騰訊雲WAF封鎖高危IP組件 |
HuaWeiWafBlockIP | 華為雲WAF封鎖高危IP組件 |
DcdnWafBanIP | DCDN-WAF封鎖IP組件 |
AegisStopContainer | Security Center停止容器組件 |
AliNetBlockIP | Security Center惡意行為防禦加黑IP組件 |
AliNetBlockDNS | Security Center惡意行為防禦加黑網域名稱組件 |
AliNetWhiteIP | Security Center惡意行為防禦加白IP組件 |
AliNetWhiteDNS | Security Center惡意行為防禦加白網域名稱組件 |
AliyunCFWBlockDNS | 阿里雲防火牆封鎖出方向惡意網域名稱組件 |
AliyunDDoSProxyBlockIP | 阿里雲DDoS高防封鎖IP組件 |
AliyunDDoSProxyWhiteIP | 阿里雲DDoS高防加白IP組件 |
AliyunFirewallMonitorIPin | 阿里雲防火牆觀察模式處置入方向IP組件 |
AliyunFirewallMonitorIPOut | 阿里雲防火牆觀察模式處置出方向IP組件 |
AliYunWafMonitorIP | 阿里雲WAF觀察模式處置IP組件 |
常見問題
為什麼處置任務執行失敗了?
許可權不足:執行操作的RAM角色缺少對目標雲產品(如WAF、Cloud Firewall)的操作許可權。請檢查並授予相關許可權。
資源不存在:被處置的實體(如主機、容器)已被銷毀,或規則已被手動刪除。
配額超限:目標雲產品的規則數量(如WAF的IP黑名單)已達到上限。
跨帳號操作限制:如需對其他雲帳號下的資源進行操作,需確保兩個帳號的企業實名認證主體一致,並通過資來源目錄實現了多帳號統一管理。不同認證主體的帳號間不支援此操作。
為什麼“重試”按鈕是灰色的?
部分處置任務因其操作的無法復原性或特殊性,不支援重試。