在日益複雜的網路安全環境中,IT環境複雜多樣、資料片段化、安全處置響應速度慢,難以檢測複雜攻擊、合規要求等問題加大了組織和企業安全營運難度。Security Center的威脅分析與響應CTDR(Cloud Threat Detection and Response)服務,可協助您集中處理來自多雲環境、多賬戶和多產品的警示和日誌資料,提高安全營運效率,加強對潛在風險的響應能力。
工作原理
威脅分析與響應是一款雲原生安全資訊和事件管理解決方案,主要提供日誌標準化、警示產生、彙總分析、事件響應編排等能力。
威脅分析與響應通過整合多雲、多帳號、多產品和不同安全廠商的日誌,利用預定義和自訂的威脅檢測規則,深入分析收集到的日誌,從而識別並還原出完整的攻擊鏈路,並形成詳細的安全事件。在檢測到安全威脅時,威脅分析與響應能夠啟動自動化響應編排,聯動相關雲產品對惡意實體執行封鎖、隔離等安全措施,以實現快速且有效安全事件處置。
功能特性
威脅分析與響應是一款深度整合AI Agent核心引擎的安全營運平台型解決方案,藉助CTDR安全營運工作可開啟“智能自動駕駛”模式,從人機協防到全自動處置,隨需而變。
海量警示中洞察安全事件
CTDR可以結合阿里雲全球威脅情報,從海量警示中識別新型未知威脅,並藉助圖計算關聯彙總、雲原生日誌分析能力,研判出隱匿性高的惡意風險。藉助CTDR安全事件平均檢測時間僅為幾分鐘,警示收斂率達99.94%。
減少重複操作,實現秒級自動化分析與響應
基於AI Agent核心引擎,CTDR提供一鍵處置策略,無需您手動設定,事件推薦處置策略覆蓋率達95%,內建可一鍵“開箱即用”的處置劇本,並支援劇本自訂編排。CTDR還可聯動安全產品和基礎設施,針對安全事件、警示、實體進行自動化分析和響應處置。
避免局部威脅視野,自動還原攻擊路徑
CTDR結合圖計算、安全大模型可以自動化溯源攻擊路徑並還原入侵時間軸。
跨雲、跨帳號、跨產品資料的統一採集、處理和分析
威脅分析與響應可以將跨雲環境、跨雲帳號和跨產品的日誌資料進行統一歸集,降低混合雲安全營運複雜度,為企業提供全域視野安全事件洞察,跨資產安全事件發現率達90%。您可以通過設定全域帳號管理員在Security Center控制台集中查看和審計,輕鬆實現監控跨平台的安全事件,簡化了資料分析和安全審計的工作。
功能價值
在安全營運中,MTTD(平均檢測時間)、MTTA(平均確認時間)和MTTR(平均回應時間)是衡量安全團隊效率和效能的關鍵計量。這些指標不僅協助組織識別其安全流程中的優勢和不足,還為持續改進提供了資料支援。
本文將通過這三個關鍵計量,全面分析CTDR在安全事件營運中的實際效果。所有指標資料均基於真實使用者的使用方式統計分析,充分體現了CTDR在提升安全事件響應效率和增強整體系統可靠性方面的顯著優勢。
MTTD(Mean Time To Detect,平均檢測時間):5分鐘。
該時間是指從攻擊事件發生到首次被檢測到所花費的平均時間。人工平均檢測時間以小時為單位。通過使用CTDR,攻擊事件的檢測時間縮短至5分鐘內。
MTTA(Mean Time To Acknowledge,平均確認時間):35分鐘。
該時間是指從事件被檢測到至安全團隊正式確認該事件為真實威脅所需的平均時間。人工平均確認時間以天為單位。事件發生後CTDR將開始自動調查和溯源,平均確認時間將縮短至35分鐘。
MTTR(Mean Time To Respond,平均回應時間):90分鐘。
該時間是指從攻擊事件被確認為真實威脅到完全解決並恢複正常操作所需的平均時間。傳統人工處理攻擊事件的平均處置時間通常以天甚至周為單位,其中人工確認和響應佔據了大量時間。CTDR通過自動化預定義劇本,可將事件處置及系統加固時間縮短至90分鐘內,其中事件確認到處置完成僅需秒級。這為安全團隊爭取了更多時間進行深度分析和防護加固,顯著提升了整體安全能力。
支援接入的產品和日誌
威脅分析與響應支援接入30+產品、60+日誌類型。具體支援的雲產品和日誌資訊如下表所示:
廠商 | 產品名稱 | 日誌類型 |
阿里雲 | Security Center |
|
Web Application Firewall (WAF) | WAF警示日誌、WAF CDN流日誌(僅支援在中國地區接入)、WAF2.0全量/攔截/攔截和觀察日誌、WAF3.0全量/攔截/攔截和觀察日誌 | |
Cloud Firewall | Cloud Firewall警示日誌、Cloud Firewall即時警示日誌、Cloud Firewall流量日誌 | |
Anti-DDoS | DDoS高防全量日誌、DDoS高防流日誌(老高防)、DDoS原生防護日誌 | |
Bastionhost | Bastionhost日誌 | |
CDN | CDN流日誌、CDN WAF流日誌 | |
Edge Security Acceleration (ESA) | DCDN 使用者訪問日誌、DCDN WAF攔截日誌 | |
API Gateway | API Gateway日誌 | |
Container Service for Kubernetes (ACK) | K8s審計日誌 | |
PolarDB | PolarDB-X 1.0 SQL審計日誌、PolarDB-X 2.0 SQL審計日誌 | |
ApsaraDB for MongoDB | MongoDB作業記錄、MongoDB審計日誌 | |
雲資料庫 RDS(Relational Database Service) | RDS SQL審計日誌 | |
Virtual Private Cloud (VPC) | VPC流日誌 | |
Elastic IP Address (EIP) | Elastic IP Address日誌 | |
Server Load Balancer (SLB) | ALB訪問日誌、CLB訪問日誌 | |
Object Storage Service (OSS) | OSS訪問日誌 | |
File Storage NAS | NAS NFS作業記錄 | |
ActionTrail | Action Trail事件記錄 | |
CloudConfig | 配置審計日誌 | |
騰訊雲 | Web Application Firewall | 騰訊雲Web Application Firewall警示日誌 |
Cloud Firewall | 騰訊云云防火牆警示日誌 | |
華為雲 | Web Application Firewall | 華為雲Web Application Firewall警示日誌 |
Cloud Firewall | 華為云云防火牆警示日誌 |
基本概念
在使用威脅分析與響應的過程中,您可能會碰到一些專業術語。為了協助您更好地理解這些術語,我們提供了相應的定義和解釋供您參考。
概念 | 解釋 |
處置策略 | 處置策略是以處置情境為最小單位的警示處置詳情。每個處置實體在每個處置情境的處置結果均會產生一條處置策略。 |
處置任務 | 處置任務是以範圍為最小單元的警示處置詳情。在事件處置過程中,每個處置實體的每個處置情境會根據範圍拆分成多個處置任務。 |
處置實體/實體 | 指關聯警示的核心對象,包括IP地址、檔案名稱、進程名稱等。 |
響應編排 | 指在安全事件發生時,通過自動化工具和流程來組織和管理安全響應措施的一系列動作。這種方式能夠協助組織快速、有效地對安全事件做出反應,減少人工幹預,提高處置效率。 |
劇本(PlayBook) | 響應編排的劇本,是由一系列預設的響應策略組成,並可在特定事件觸發時自動執行的自動化安全工作流程。 編寫劇本類似於繪製流程圖,包含流程的起始點、判定環節、具體動作和終結點。您可以通過可視化編輯介面自訂每個環節的特定動作,如定義終端管理組件的禁用網路動作。 |
組件(Component) | 與外部系統或服務的介面,如Web Application Firewall、Cloud Firewall、資料庫、通知服務等。組件作為外部服務的連接器,本身不處理複雜的邏輯,而是依賴於所串連的系統或服務。在選擇組件後,您需要指定對應的資源和動作。 組件分為流程編排組件、基礎編排組件和安全應用組件。 |
資源執行個體(Resource Instance) | 指定與組件相關聯的具體外部服務詳情。例如,對於MySQL組件,如果企業有多個MySQL服務執行個體,您需要明確要串連的具體資料庫執行個體。 |
動作(Action) | 組件的具體執行能力,一個組件可能包含多種動作。以終端管理軟體為例,可能包括如禁用賬戶、隔離網路、發送通知等動作。 |