Security Center的主機防護和容器防護通過設定的資產防護規則,會產生多種警示,並展示在安全警示的雲工作負載保護平台(CWPP)中。Security Center通過圖計算技術,將具有關聯性的CWPP警示(如相同MD5值或父進程ID)彙總建置事件,本文介紹警示產生的CWPP安全事件的基本概念。
CWPP安全事件概念解讀
CWPP安全事件來源
Security Center主機防護和容器防護設定的資產防護規則會產生警示資訊,Security Center通過圖計算技術將具有關聯性的CWPP警示(如相同MD5值或父進程ID)彙總產生安全事件,事件詳情頁概覽地區顯示的警示來源為“Security Center”。
可在的雲工作負載保護平台(CWPP)頁簽查看CWPP警示資訊。
CWPP安全事件建置規則
CWPP警示(除精準防禦類型警示外)預設都會產生安全事件,如果主機側的警示無關聯性時,單條警示可產生一個事件。
如果設定了事件加白規則,命中加白規則的警示不會產生安全事件。
事件儲存時間說明
安全事件處置頁面僅支援查看180天內的事件。
安全事件風險等級及處理說明
風險等級 | 描述 | 處理說明 |
嚴重 |
| 建議您立即查看該事件並及時處理。 |
高危 |
| 建議您立即查看該事件並及時處理。 |
中危 | 該事件所描述的行為,表示發現了一些疑似惡意的行為或實體,此次事件有可能是一次成功的入侵行為,可能已經對您的資產造成了不良影響,也有可能是部分不尋常的營運行為導致的,例如異常登入等。 | 該風險等級表示您的資產有一定機率正在受到攻擊,建議您查看該事件詳情,進一步判斷是否存在風險並進行相應處理。 |
低危 | 該事件所描述的行為,表示此次事件有一定機率是一次成功的入侵行為,或是代表您的資產正在遭受外部的持續攻擊探測,例如來自106.11.XX.XX的訪問。 | 如果您對資產的安全等級要求較高,可以關注該等級的安全事件。 |
資訊 | 從工作自動化軟體中收到大量警報,這些警報僅為告知我們某些作業已運行或已達到特定裡程碑。 | 可忽略。 |
CWPP安全事件處理對象
安全事件可以針對事件彙總的警示和提煉出的警示實體進行處理。
CWPP安全警示
CWPP安全事件是由CWPP安全警示通過圖計算技術彙總產生,在處理CWPP安全事件時若為誤判對其進行事件加白,警示加白操作。
警示彙總規則如下:
CWPP安全事件通過圖計算技術可彙總的警示數量上限為2000條。
對於未處理狀態的事件,新產生警示可以繼續向該事件中彙總。
對於處理中、已處理或處理失敗狀態的事件,新產生警示不再往該事件中彙總,而是新產生一個未處理狀態的事件。
實體
在安全事件中,實體(Entity) 是指與安全事件相關聯的具體對象或行為體。Security Center支援抽取並彙總安全警示中的實體,根據實體是否有惡意標籤,將實體分類為惡意實體或非惡意實體,並支援查看實體詳情、運行劇本和查詢阿里雲威脅情報。Security Center支援識別的實體類型如下:
實體名稱 | 是否為資產實體 | 是否可標識惡意 |
主機 | 是 | 否 |
IP地址 | 是 | 是 |
雲帳號 | 是 | 否 |
存取金鑰 | 是 | 否 |
網域名稱 | 是 | 是 |
檔案 | 否 | 是 |
主機處理序 | 否 | 是 |
主機賬戶 | 否 | 否 |
URL | 否 | 否 |
註冊表 | 否 | 是 |
容器 | 是 | 否 |
叢集 | 是 | 否 |
Object Storage Service | 是 | 否 |
安全事件處理流程
更多服務
若開通了威脅分析與響應(CTDR)服務,可獲得更多的安全事件分析和處理服務,服務對比參見下表:
差異點 | 開通CTDR增值服務 | 未開通CTDR增值服務 |
支援處理的事件類型 |
| 雲工作負載安全保護平台(CWPP)安全警示,例如Security Center主機、容器相關入侵檢測及防禦警示,通過圖計算彙總而成。 |
事件處理方法 |
|
|