開通Agentic SOC服務後,Security Center將對已接入Agentic SOC的日誌進行分析和加工,從而產生警示和事件。通過使用安全警示功能,您可以實現跨安全產品警示記錄的統一管理。本文將介紹Agentic SOC安全警示功能的基本資料以及如何查看警示資料。
注意事項
開通Agentic SOC服務後,雲工作負載安全保護平台(CWPP)安全警示資訊遷移至Agentic SOC安全警示目錄下,可在雲工作負載保護平台(CWPP)中進行查看和處理,處理具體步驟請參見評估及處理安全警示。
前提條件
已開通並授權Agentic SOC服務。具體操作,請參見購買並開通Agentic SOC。
已接入對應產品的日誌。具體操作,請參見產品接入。
警示來源說明
下表介紹安全警示頁面不同頁簽警示的資料來源。
頁簽 | 資料來源說明 |
彙總分析警示 | Agentic SOC將對您接入的日誌進行深度分析,並根據預定義的規則產生相應的警示資訊。 |
自訂分析警示 | Agentic SOC將對您接入的日誌進行深度分析,並依據預設的自訂規則產生相應的警示資訊。 |
雲工作負載保護平台(CWPP) | Security Center主機、容器相關入侵檢測及防禦警示。更多內容請參見安全警示-CWPP(雲工作負載)。 |
防火牆(Firewall) |
|
Web Application Firewall(WAF) |
|
端點檢測與響應(EDR) | 已接入的三方端點檢測與響應(EDR)警示日誌,例如:深信服aES警示日誌等。 |
其他 | 除Security Center警示日誌、防火牆日誌、Web Application Firewall、EDR日誌外,已接入Agentic SOC的其他警示日誌。 |
Agentic SOC警示和CWPP警示的對比
差異點 | Agentic SOC警示(非CWPP警示) | 雲工作負載保護平台(CWPP)警示 |
警示來源 | 已接入Agentic SOC的日誌進行分析和加工,通過預定義規則和自訂規則形成警示。 說明 除雲工作負載保護平台(CWPP)頁簽以外的警示。 | 通過威脅檢測模型,檢測主機、容器相關入侵檢測及防禦警示。 說明 雲工作負載保護平台(CWPP)頁簽下所有警示。 |
是否可處理 |
|
|
警示儲存時間
未命中事件建置規則的警示,其儲存時間為30天。對於命中事件建置規則並建置事件的警示,儲存時間為180天。超過儲存天數的警示將被自動清理。
上文中提到的警示儲存時間,特指Agentic SOC警示的儲存時間,即在雲工作負載保護平台(CWPP)頁簽以外的其他頁簽所展示的警示。
警示處理說明
查看警示
下述內容以查看彙總分析警示頁簽的警示為例,介紹查看警示的操作步驟。
在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
在彙總分析警示頁簽,查看通過預定義規則產生的警示。
查看警示的受影響資產:單擊受影響資產列的連結,可查看受影響資產的詳細資料。
查看產生警示的惡意實體:單擊惡意實體列的連結,可查看Agentic SOC解析出的對系統安全構成威脅的元素或行為,惡意實體包括髮起攻擊的IP地址、進程和檔案等。
查看警示關聯事件:單擊關聯事件ID列的ID,可查看該警示關聯的事件詳情。
在目標警示的操作列單擊詳情,查看警示的詳細資料。
支援查看警示的基礎資訊、受影響資產、發生時間、警示說明等資訊。
常見病毒警示處理實踐教程
安全強化方案
升級Security Center版本:企業版和旗艦版支援病毒自動隔離(即病毒自動查殺)功能為您提供精準防禦能力,支援更多的安全檢測項。
收緊存取控制:僅開放必要的業務連接埠(如80、443),對管理連接埠(如22、3389)和資料庫連接埠(如3306)配置嚴格的IP白名單存取原則。
說明若是阿里雲 ECS伺服器可參見管理安全性群組進行操作。
設定複雜伺服器密碼:為伺服器和應用設定包含大小寫字母、數字和特殊符號的複雜密碼。
升級軟體:請及時將應用軟體更新至官方最新版本,避免使用已停止維護或存在已知安全性漏洞的舊版本。
定期備份:對重要資料和伺服器系統硬碟建立定期快照策略。
說明若是阿里雲 ECS伺服器可參見建立自動快照策略進行操作。
及時修複漏洞:定期使用Security Center漏洞修複功能及時修補系統高危漏洞和應用漏洞。
重設伺服器系統(謹慎選擇)。
如果破壞入侵較深,關聯到系統底層組件,強烈建議您在備份重要資料後,重設伺服器的系統。具體操作步驟如下:
建立快照備份伺服器上的重要資料。具體操作,請參見建立快照。
初始化伺服器的作業系統。具體操作,請參見重新初始化系統硬碟(重設作業系統)。
使用快照產生雲端硬碟。具體操作,請參見使用快照建立資料盤。
掛載雲端硬碟到重裝系統後的伺服器上。具體操作,請參見掛載資料盤。