全部產品
Search

搜尋本產品

    Security Center:安全事件概述-CTDR(威脅分析與響應)

    文件中心

    Security Center:安全事件概述-CTDR(威脅分析與響應)

    更新時間:Sep 03, 2025

    Security Center的威脅分析與響應CTDR(Cloud Threat Detection and Response)通過預定義或自訂規則,分析多個安全警示的上下文並彙總形成完整事件,還原攻擊鏈並提取惡意實體,協助您快速響應和處置雲上安全風險。本文介紹如何處置CTDR警示產生的安全事件。

    注意事項

    開通威脅分析與響應(CTDR)服務後,雲工作負載安全保護平台(CWPP)安全警示形成的安全事件遷移至CTDR處理,處理流程與CTDR產生的安全事件保持一致。關於CWPP安全事件說明,請參見CWPP安全事件概述

    CTDR安全事件概念解讀

    CTDR安全事件來源

    Security Center的威脅分析與響應CTDR(Cloud Threat Detection and Response)通過預定義或自訂規則,產生多個安全警示。CTDR通過分析多個安全警示的上下文形成完整事件。

    說明

    • 可在威脅分析與響應 > 安全警示彙總分析警示自訂分析警示頁簽查看CTDR警示資訊。

    • 如何配置預定義規則和自訂規則,請參見配置威脅檢測規則

    CTDR安全事件產生機制

    CTDR安全事件是由預定義規則或自訂規則將關聯的多個安全警示彙總而成的,以便您能快速識別並響應安全威脅。安全事件根據警示產生裝置分為以下兩類:

    • 網路側:CTDR聚焦於駭客的探測行為(如掃描或踩點),將網路側產生的警示通過預定義規則建置事件,以防止攻擊者進一步探測使用者資訊。

    • 主機側:CTDR通過圖計算技術,將主機側具有關聯性的警示(如相同MD5值或父進程ID)彙總建置事件,協助使用者快速定位攻擊入口並響應。

    並非所有警示都會產生安全事件,只有滿足以下條件的警示才會觸發事件產生:

    • 主機側的警示都會產生安全事件。如果主機側的警示無關聯性時,單條警示可產生一個事件;網路側的警示只有命中預定義規則或自訂規則的事件彙總策略,對應的警示才會產生安全事件。

    • 如果設定了事件加白規則,則命中加白規則的警示不會建置事件。

    • 如果僅開啟了預定義規則,只有命中預定義規則中的事件產生方式圖計算專家規則的警示才會建置事件。

    事件儲存時間說明

    安全事件處置頁面僅支援查看180天內的事件。

    安全事件風險等級及處理說明

    風險等級

    描述

    處理說明

    嚴重

    • 該事件所描述的行為會引起中斷,導致關鍵功能無法訪問或網路完全中斷,對服務可用性造成嚴重影響,沒有可能的替代方案。

    • 該事件所描述的行為表示發現了明確的惡意行為或實體,明確的入侵行為。

    • 影響範圍廣泛,涉及多台伺服器。

    建議您立即查看該事件並及時處理。

    高危

    • 該事件所描述的行為表示發現了明確的惡意行為或實體,此次事件極可能是一次成功的入侵行為,對您的資產已經造成了不良影響,例如進程異常行為-反彈Shell。

    • 一般只涉及單台機器。

    建議您立即查看該事件並及時處理。

    中危

    該事件所描述的行為,表示發現了一些疑似惡意的行為或實體,此次事件有可能是一次成功的入侵行為,可能已經對您的資產造成了不良影響,也有可能是部分不尋常的營運行為導致的,例如異常登入等。

    該風險等級表示您的資產有一定機率正在受到攻擊,建議您查看該事件詳情,進一步判斷是否存在風險並進行相應處理。

    低危

    該事件所描述的行為,表示此次事件有一定機率是一次成功的入侵行為,或是代表您的資產正在遭受外部的持續攻擊探測,例如來自106.11.XX.XX的訪問。

    如果您對資產的安全等級要求較高,可以關注該等級的安全事件。

    資訊

    從工作自動化軟體中收到大量警報,這些警報僅為告知我們某些作業已運行或已達到特定裡程碑。

    可忽略。

    CTDR安全事件處理對象

    安全事件可以針對事件彙總的警示和提煉出的警示實體進行處理。

    CTDR安全警示

    CTDR通過預定義或自訂規則,產生多個安全警示,CTDR通過分析警示上文彙總成安全事件。

    警示彙總規則如下:

    • 圖計算產生的安全事件,警示數量上限為2000條,其他事件產生方式(同類彙總)上限為1w條。

    • 對於未處理狀態的事件,新產生警示可以繼續向該事件中彙總。

    • 對於處理中、已處理或處理失敗狀態的事件,新產生警示不再往該事件中彙總,而是新產生一個未處理狀態的事件。

    實體

    在安全事件中,實體(Entity) 是指與安全事件相關聯的具體對象或行為體。Security Center支援抽取並彙總安全警示中的實體,根據實體是否有惡意標籤,將實體分類為惡意實體或非惡意實體,並支援查看實體詳情、運行劇本和查詢阿里雲威脅情報。Security Center支援識別的實體類型如下:

    實體名稱

    是否為資產實體

    是否可標識惡意

    主機

    IP地址

    雲帳號

    存取金鑰

    網域名稱

    檔案

    主機處理序

    主機賬戶

    URL

    註冊表

    容器

    叢集

    Object Storage Service

    事件處理

    差異點

    開通CTDR增值服務

    未開通CTDR增值服務

    支援處理的事件類型

    • 通過CTDR預定義或自訂規則,分析多個CTDR安全警示的上下文並彙總形成完整的事件。

    • 雲工作負載安全保護平台(CWPP)安全警示形成的安全事件遷移至CTDR處理。

    雲工作負載安全保護平台(CWPP)安全警示,例如Security Center主機、容器相關入侵檢測及防禦警示,通過圖計算彙總而成。更多資訊請參見CWPP(雲工作負載)安全事件概述

    事件處理方法

    • 推薦處置策略

    • 更新事件狀態

    • 加白

      重要

    • 運行劇本

    • 自動處理(響應編排)

    • 推薦處置策略

    • 更新事件狀態

    • 加白

      重要

      CWPP事件僅支援警示加白

    • 運行劇本

    安全事件處理流程圖