全部產品
Search

搜尋本產品

    Security Center:安全警示- CTDR(威脅分析與響應)

    文件中心

    Security Center:安全警示- CTDR(威脅分析與響應)

    更新時間:Aug 28, 2025

    開通威脅分析與響應CTDR(Cloud Threat Detection and Response)服務後,Security Center將對已接入CTDR的日誌進行分析和加工,從而產生警示和事件。通過使用安全警示功能,您可以實現跨安全產品警示記錄的統一管理。本文將介紹CTDR安全警示功能的基本資料以及如何查看警示資料。

    注意事項

    開通威脅分析與響應(CTDR)服務後,雲工作負載安全保護平台(CWPP)安全警示資訊遷移至CTDR安全警示目錄下,可在雲工作負載保護平台(CWPP)中進行查看和處理,處理具體步驟請參見分析及處理安全警示

    前提條件

    警示來源說明

    下表介紹安全警示頁面不同頁簽警示的資料來源。

    頁簽

    資料來源說明

    彙總分析警示

    CTDR將對您接入的日誌進行深度分析,並根據預定義的規則產生相應的警示資訊。

    自訂分析警示

    CTDR將對您接入的日誌進行深度分析,並依據預設的自訂規則產生相應的警示資訊。

    雲工作負載保護平台(CWPP)

    Security Center主機、容器相關入侵檢測及防禦警示。更多內容請參見安全警示-CWPP(雲工作負載)

    防火牆(Firewall)

    • 已接入CTDR的阿里雲Cloud Firewall警示日誌。

    • 已接入CTDR的第三方雲廠商和安全廠商的防火牆警示日誌,例如:騰訊雲、華為雲、飛塔防火牆等的警示日誌。

    Web Application Firewall(WAF)

    • 已接入CTDR的阿里雲Web Application Firewall警示日誌。

    • 已接入CTDR的第三方雲廠商和安全廠商的Web Application Firewall警示日誌,例如:騰訊雲、華為雲、飛塔防火牆等的警示日誌。

    端點檢測與響應(EDR)

    已接入的三方端點檢測與響應(EDR)警示日誌,例如:深信服aES警示日誌等。

    其他

    除Security Center警示日誌、防火牆日誌、Web Application Firewall、EDR日誌外,已接入CTDR的其他警示日誌。

    CTDR警示和CWPP警示的對比

    差異點

    CTDR警示(非CWPP警示)

    雲工作負載保護平台(CWPP)警示

    警示來源

    已接入CTDR的日誌進行分析和加工,通過預定義規則和自訂規則形成警示。

    說明

    雲工作負載保護平台(CWPP)頁簽以外的警示。

    通過威脅檢測模型,檢測主機、容器相關入侵檢測及防禦警示。

    說明

    雲工作負載保護平台(CWPP)頁簽下所有警示。

    是否可處理

    • CTDR警示不支援單獨處理,僅支援查看。

    • 可支援處理由CTDR警示集合而成的安全事件。

    • CWPP警示可直接單獨處理,處理方案包含病毒查殺、隔離、阻斷、加白等。

    • 可支援處理彙總而成的安全事件。

    警示儲存時間

    未命中事件建置規則的警示,其儲存時間為30天。對於命中事件建置規則並建置事件的警示,儲存時間為180天。超過儲存天數的警示將被自動清理。

    說明

    上文中提到的警示儲存時間,特指CTDR警示的儲存時間,即在雲工作負載保護平台(CWPP)頁簽以外的其他頁簽所展示的警示。

    警示處理說明

    • CTDR的警示是無狀態的,且不支援處理。CTDR是基於接入的日誌資料來進行分析和判斷,並不依賴歷史資料來產生新的警示。

    • 您可以使用CTDR的安全事件處置能力,處理資產中存在的安全威脅。具體操作,請參見安全事件處置響應編排

    查看警示

    下述內容以查看彙總分析警示頁簽的警示為例,介紹查看警示的操作步驟。

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇威脅分析與響應 > 安全警示

    3. 彙總分析警示頁簽,查看通過預定義規則產生的警示。

      • 查看警示的受影響資產:單擊受影響資產列的連結,可查看受影響資產的詳細資料。

      • 查看產生警示的惡意實體:單擊惡意實體列的連結,可查看CTDR解析出的對系統安全構成威脅的元素或行為,惡意實體包括髮起攻擊的IP地址、進程和檔案等。

      • 查看警示關聯事件:單擊关联事件ID列的ID,可查看該警示關聯的事件詳情。

    4. 在目標警示的操作列單擊詳情,查看警示的詳細資料。

      支援查看警示的基礎資訊、受影響資產、發生時間、警示說明等資訊。

    常見病毒警示處理實踐教程

    安全強化方案

    • 升級Security Center版本

      企業版和旗艦版支援病毒自動隔離(即病毒自動查殺)功能為您提供精準防禦能力,目前已支援主流勒索病毒、DDoS木馬、挖礦和木馬程式、惡意程式、後門程式和蠕蟲等類型,支援的安全檢測項也更多。

    • 設定伺服器安全性群組

      常見的安全性群組設定如下若是阿里雲 ECS伺服器可參見管理安全性群組進行操作。

      • 只允許指定的IP地址進行3389(遠端桌面)、22(SSH)登入,避免伺服器管理連接埠被駭客掃描或爆破。

      • 在安全性群組中,只允許存取必要的業務連接埠(例如80、443),其他無關連接埠不要允許存取。

      • 對於資料庫連接埠(例如1433、3306、6379等),應設定為只允許指定的IP來串連,如無必要,建議不要對外開放。

    • 設定複雜伺服器密碼

      伺服器密碼設定盡量複雜,不要過於簡單(包含大小寫字母+數字+特殊符號,密碼長度至少8位以上) 。

    • 升級軟體

      應用軟體要經常升級到新版本,不要用老版本的軟體。

    • 建立磁碟快照

      • 定期對重要伺服器做磁碟快照。這樣當出現資料丟失、誤刪資料、資料被駭客篡改(比如勒索病毒)等意外事件時,可以通過磁碟快照恢複您的資料。 若是阿里雲 ECS伺服器可參見建立自動快照策略進行操作。

    • 及時修複漏洞

      可使用Security Center漏洞修複功能及時修補系統高危漏洞和應用漏洞(注意:修補漏洞前先做快照備份)。

    • 重設伺服器系統(謹慎選擇)

      如果破壞入侵較深,關聯到系統底層組件,強烈建議您在備份重要資料後,重設伺服器的系統。具體操作步驟如下:

      1. 建立快照備份伺服器上的重要資料。具體操作,請參見建立快照

      2. 初始化伺服器的作業系統。具體操作,請參見重新初始化系統硬碟(重設作業系統)

      3. 使用快照產生雲端硬碟。具體操作,請參見使用快照建立資料盤

      4. 掛載雲端硬碟到重裝系統後的伺服器上。具體操作,請參見掛載資料盤

    相關文檔

    • 接入雲產品日誌後,您可以設定警示檢測規則,將相關的多條安全警示彙總形成帶有完整攻擊鏈路的安全事件,降低警示數量,提升警示分析和處理效率。具體內容,請參見配置威脅檢測規則

    • 您可以調用安全警示相關的API介面,查詢安全警示資訊等。具體介面列表,請參見安全警示