本文介绍安全管家MSS的服务内容。
Web应用防火墙托管
服务分类 | 服务内容 | 交付内容细则 | 交付输出物 | SLA(Service Level Agreement) |
安全咨询 | 提供Web应用防火墙(Web Application Firewall,简称WAF)产品配置问题、策略异常分析、异常事件处置等与安全有关的咨询服务解答(不包含Bot管理)。 | WAF异常数据排查。 |
| 5*8工作日内,按需提供30分钟内响应咨询、72小时内咨询工单闭环。 |
WAF策略调优指导。 | ||||
WAF产品问题咨询。 | ||||
接入与升级 | 提供WAF资产接入服务,协助配置安全策略,满足业务需求。 | WAF资产部署和接入。 | 钉钉群信息推送。 | 5*8工作日内,按需提供30分钟内响应咨询、72小时内咨询工单闭环。 |
协助进行WAF产品升级,处理WAF升级相关异常问题。 | 标准化WAF迁移协助。 |
| 有。 | |
安全监控 |
| WAF周期性巡检和安全监控(不包含Bot管理)。 | 钉钉群推送告警及告警分析。 |
|
安全加固 | 根据告警实际情况和相关行业标准规定,在安全事件发生后,协助用户快速进行安全加固。 | WAF安全产品配置服务:协助客户依据告警、异常日志数据,进行安全分析,配置相应的安全策略(不包含Bot管理)。 | 安全加固配置清单。 | 有。 |
重保护航 | 提供业务重要活动护航服务,包括重保周期巡检、活动期间安全事件响应等。 | 业务重要活动护航。 | 重保护航日报。 | 业务重要活动护航服务(5*8工作日)。 |
应急响应 | 提供WAF紧急安全事件的应急响应服务。 | 安全事件应急响应。 | 应急响应完成后,提供《应急响应报告》。触发条件包含如下两类场景:
|
|
安全运营支持 | 新功能POC免费试用。 | 新功能POC免费试用。 | WAF新功能发布提供7天免费试用。 | 有。 |
提供WAF产品能力、最佳实践等相关培训。 | WAF产品培训。 | 提供WAF产品接入、功能、使用培训。 | 按需(每年1次)。 | |
CC防护培训。 | 提供WAF或DDoS CC防护最佳实践培训。 | |||
总结与汇报 | 标准安全报告 、会议。 | 标准安全报告 、会议。 | 提供标准化月度、季度安全报告和季度会议。 | 月度 、季度报告,季度会议。 |
DDoS高防托管
服务分类 | 服务内容 | 交付内容细则 | 交付输出物 | SLA |
安全咨询 | 提供Anti-DDoS安全产品配置问题、策略异常分析、异常事件处置等与安全产品有关的咨询服务解答。 | Anti-DDoS异常数据排查。 |
| 5*8工作日内,按需提供30分钟内响应咨询、72小时内咨询工单闭环。 |
Anti-DDoS策略调优指导。 | ||||
Anti-DDoS产品问题咨询。 | ||||
接入与升级 | 提供Anti-DDoS资产接入服务,协助配置安全策略,满足业务需求。 | 防护资产部署和接入。 | 钉钉群信息推送。 | 5*8工作日内,按需提供30分钟内响应咨询、72小时内咨询工单闭环。 |
安全监控 |
| Anti-DDoS周期巡检和安全监控。 | 钉钉群告警推送及告警分析。 |
|
安全加固 | 根据告警实际情况和相关行业标准规定,在安全事件发生后,协助用户快速进行安全加固。 | Anti-DDoS安全产品配置服务:协助客户依据告警、异常日志数据,进行安全分析,配置相应的安全策略。 | 安全加固配置清单。 | 有。 |
重保护航 | 提供业务重要活动护航服务,包括重保周期巡检、活动期间安全事件响应等。 | 业务重要活动护航。 | 重保护航日报。 | 业务重要活动护航服务 (5*8工作日)。 |
应急响应 | 提供Anti-DDoS紧急安全事件的应急响应服务。 | 安全事件应急响应。 | 应急响应完成后,提供《应急响应报告》。触发条件包含如下两类场景:
|
|
总结与汇报 | 标准安全报告 、会议。 | 标准安全报告 、会议。 | 提供标准化月度、季度安全报告和季度会议。 | 月度 、季度报告,季度会议。 |
云防火墙托管
服务分类 | 服务内容 | 交付内容细则 | 交付输出物 | SLA |
专属沟通群建立 | 建立专属钉钉沟通对接群,后续所有托管相关问题均在群内进行沟通反馈,部分告警配置等信息会通过钉钉机器人推送至群中。 | 提供专项沟通群,解答托管产品问题/告警事件处置/问题分析。 | 专属沟通群。 | 首次购买后24小时内。 |
权限授予 | 客户侧需要依据服务范围相关内容提供必要的权限授予,包括但不限于:控制台登录SSO、STS角色、AK等权限,该部分权限用于支撑后续运营工作。 | 获取监控、操作、处置相关服务权限。 | 《权限申请清单》 | 无。 |
服务启动会 | 由服务托管服务团队发起客户参与,用于双方初次沟通确定双方接口人、后续工作安排以及部分非标交付等内容。 | 项目启动会用于后续计划实施沟通干系人确认。 | 《项目启动会-会议纪要》 | 首次购买后72小时内。 |
群公告信息更新 | 根据沟通,将双方接口人信息、服务时间、服务范围等信息公开。 | 交付人员项目信息同步,刷新群内信息。 | 群公告信息更新。 | 首次购买后72小时内。 |
后续服务计划更新 | 根据启动会客户沟通结果以及托管服务标准交付项输出工作计划排期表。 | 建立后续服务更新跟进计划表。 | 《工作计划表》 | 首次购买后1个月内。 |
托管产品风险评估 | 基于阿里云安全管家团队服务经验针对托管服务中覆盖的产品进行风险评估,发现其:策略配置、产品配置等不合理的条目,输出风险评估报告,作为后续整改依据。 | 防护状态。 | 《风险评估报告》 | 客户进入2周后完成评估输出。 |
产品状态评估。 | ||||
控制边界策略评估。 | ||||
IPS策略评估。 | ||||
安全告警巡检 | 日常进行告警巡检,针对云防火墙的:检测响应-入侵防御、检测响应-漏洞防护、检测响应-失陷感知、检测响应-数据泄露产生的告警进行响应和分析,输出告警处置和结果清单。 | 互联网防护安全告警事件分析 (分析结果高风险告警通知)。 | 《告警处置清单》 | 15分钟/次产品巡检,出现告警后30分钟内处置完毕。 |
漏洞防护告警事件分析。 | ||||
失陷感知事件分析。 | ||||
数据泄露(需开启服务)。 | ||||
产品巡检 | 针对云防火墙到期时间、使用规格、防护范围覆盖等产品基础状态进行巡检,保障云防火墙可用性。 | 巡检产品日常运营状态。 | 《每日巡检通知》 | 每天。 |
策略代维 | 基于客户生产需求和阿里云最佳实践帮助客户,在约定时间内进行策略配置或变更,变更前帮助评估影响范围,变更后验证变更效果。 | 互联网边界防火墙防护状态代维。 | 《策略配置变更清单》 | 按需响应。 |
互联网边界管控策略代维(出、入方向)。 | ||||
ACL引擎管理策略配置调整。 | ||||
IPS配置规则-威胁引擎运行模式功能调整代维。 | ||||
IPS配置规则-基础补丁,开启、关闭、观察等功能代维。 | ||||
IPS配置规则-虚拟补策略,开启、关闭、观察等功能代维。 | ||||
IPS配置规则-威胁情报,开启、关闭、观察等功能代维。 | ||||
IPS配置规则-智能防御,开启、关闭、观察等功能代维。 | ||||
IPS配置规则-数据泄露,开启、关闭、观察等功能代维。 | ||||
IPS配置规则-私网防护,开启、关闭、观察等功能代维。 | ||||
防护白名单代维(添加、删除、修改)状态调整。 | ||||
IPv4地址簿配置代维。 | ||||
IPv6地址簿配置代维。 | ||||
端口地址簿配置代维。 | ||||
域名地址簿配置代维。 | ||||
ACK地址簿配置代维。 | ||||
告警通知(整体告警配置)功能代维。 | ||||
产品咨询解答 | 解答客户针对云防火墙托管服务范围内的相关策略配置、产品功能以及优化建议。 | 异常数据排查。 | 产品咨询工单。 | 按需响应。 |
策略调优指导。 | ||||
产品问题咨询。 | ||||
资产部署和接入。 | ||||
安全事件排查支持 | 当客户产生安全事件时,协助客户完成基于云防火墙日志的事件排查和分析。 | 根据事件需求完成云防火墙各类日志分析。 | 《安全事件排查支持报告》 | 按需响应。 |
根据事件结论完成策略下发。 | ||||
定期沟通会议 | 托管服务以季度为单位为客户提供沟通会议,针对本月工作复盘和下月安全规划。 | 标准安全报告和会议。 | 《季度会议纪要》 | 每个季度。 |
输出定期交付报告 | 根据客户需求提供月报形式多规格报告,报告内容为标品,如需自定义内容需双方协商一致。 | 标准安全月度报告。 | 《月度报告》 | 每个月。 |
总结报告 | 在托管服务结束前1周输出总结报告,总结该周期所有服务内容和后续规划。 | 服务总结报告。 | 《服务总结报告》 | 服务结束前一周。 |
总结会议 | 在托管服务结束前1周组织复盘会议,针对托管服务周期内处置的问题、遗留风险进行总结。 | 服务总结会议。 | 《服务总结会-会议纪要》 | 服务结束前一周。 |
云安全中心托管
服务分类 | 服务内容 | 交付内容细则 | 交付输出物 | SLA |
专属沟通群建立 | 建立专属钉钉沟通对接群,后续所有托管相关问题均在群内进行沟通反馈,部分告警配置等信息会通过机器人形式推送至群中。 | 提供专项沟通群,解答托管产品问题、告警事件处置、问题分析。 | 专属沟通群。 | 首次购买后24小时内。 |
权限授予 | 客户侧需要依据服务范围相关内容提供必要的权限授予,包括但不限于:控制台登录SSO、STS角色、AK等权限,该部分权限用于支撑后续运营工作。 | 获取监控、操作、处置相关服务权限。 | 《权限申请清单》 | 无。 |
服务启动会 | 由服务托管同学发起客户参与,用于双方初次沟通确定双方接口人、后续工作安排以及部分非标交付等内容。 | 项目启动会用于后续计划实施沟通干系人确认。 | 《项目启动会-会议纪要》 | 首次购买后72小时内。 |
群公告信息更新 | 根据沟通内容将双方接口人信息、服务时间、服务范围等信息公开。 | 交付人员项目信息同步,刷新群内信息。 | 群公告信息更新。 | 首次购买后72小时内。 |
后续服务计划更新 | 根据启动会客户沟通结果以及托管服务标准交付项输出工作计划排期表。 | 建立后续服务更新跟进计划表。 | 《工作计划表》 | 首次购买后1个月内。 |
托管产品风险评估 | 基于阿里云安全管家团队服务经验针对托管服务中覆盖的产品进行风险评估,发现其:策略配置、产品配置等不合理的条目,输出风险评估报告,作为后续整改依据。 | 防护状态评估。 | 《风险评估报告》 | 客户进入2周后完成评估输出。 |
产品状态评估。 | ||||
防护能力评估。 | ||||
告警处置评估。 | ||||
漏洞管理评估。 | ||||
暴露分析评估。 | ||||
AK泄露评估。 | ||||
安全告警巡检 | 日常进行安全告警巡检,告警通过钉钉机器人形式推送至服务群内,告警巡检范围:检测响应-云工作负载保护平台(CWPP)等高危风险事件响应和分析,输出降噪后的告警处置和结果清单。 | CWPP云工作负载保护平台。 | 《告警处置清单》 | 15分钟/次产品巡检,出现告警后30分钟内处置完毕。 |
AK泄露。 | ||||
产品巡检 | 针对云安全中心到期时间、使用规格、防护范围覆盖等产品基础状态进行巡检,保障产品可用性。 | 巡检产品日常运营状态。 | 《每日巡检通知》 | 每天。 |
策略代维 | 基于客户生产需求和阿里云最佳实践帮助客户在约定时间内进行策略配置、变更,变更前帮助评估影响范围,变更后验证变更效果。 | 主机授权部署。 | 《策略配置变更清单》 | 按需响应。 |
主机资产同步, | ||||
云安全中心客户端部署(不含云外)。 | ||||
基本信息-登录安全设置、漏洞检测、防护状态开启和关闭。 | ||||
产品最新资产同步。 | ||||
风险验证、加白状态。 | ||||
一键扫描状态同步。 | ||||
Linux软件漏洞加白、修复。 | ||||
Windows系统漏洞加白、修复。 | ||||
Web-CMS漏洞加白。 | ||||
应用漏洞加白。 | ||||
应急漏洞加白。 | ||||
漏洞管理模块-漏洞白名单配置设置、新增、删除。 | ||||
漏洞管理模块-漏洞管理设置、新增、删除。 | ||||
告警通知(整体告警配置)功能代维。 | ||||
日志记录告警类型开启、关闭。 | ||||
日志存储清空、调整过期时间。 | ||||
主机防护-病毒查杀扫描配置。 | ||||
主机防护-主机规则管理开启、关闭、策略调整。 | ||||
主机防护-核心文件监控规则配置。 | ||||
功能设置-主机防护、容器防护、客户端能力、其它功能开启关闭调整。 | ||||
功能设置-网站后门查杀功能开启关闭调整。 | ||||
功能设置-自适应威胁检测能力功能开启关闭调整。 | ||||
功能设置-告警设置功能开启关闭调整。 | ||||
主机漏洞修复 | 可根据客户侧提供窗口时间协助客户在云安全中心控制台进行漏洞修复和主机重启(主机漏洞修复需要先进行快照备份会产生额外费用需要客户自行承担),客户侧需要完成业务可用性验证。 | 主机漏洞修复。 | 《漏洞修复清单》 | 按需响应。 |
产品咨询解答 | 解答客户针对云安全中心管服务范围内的相关策略配置、产品功能以及优化建议。 | 异常数据排查。 | 《产品咨询工单》 | 按需响应。 |
策略调优指导。 | ||||
产品问题咨询。 | ||||
资产部署和接入。 | ||||
安全事件排查支持 | 根据事件需求完成云安全中心各类日志分析。 | 根据事件需求完成云安全中心各类日志分析。 | 《安全事件排查支持报告》 | 按需响应。 |
根据事件结论完成策略下发。 | ||||
定期沟通会议 | 托管服务以季度为单位为客户提供沟通会议,针对本月工作复盘和下月安全规划。 | 标准安全报告和会议。 | 《季度会议纪要》 | 每个季度。 |
输出定期交付报告 | 根据客户需求提供月报形式多规格报告,报告内容为标品,如需自定义内容需双方协商一致。 | 标准安全月报告。 | 《月度报告》 | 每个月度。 |
总结报告 | 在托管服务结束前1周输出总结报告,总结该周期所有服务内容和后续规划。 | 服务总结报告。 | 《服务总结报告》 | 服务结束前一周。 |
总结会议 | 在托管服务结束前1周组织复盘会议,针对托管服务周期内处置的问题和遗留风险进行总结。 | 服务总结会议。 | 《服务总结会-会议纪要》 | 服务结束前一周。 |
Anti-Bot托管
服务分类 | 服务内容 | 交付内容细则 | 交付输出物 | SLA |
安全咨询 | 提供WAF安全产品配置问题、策略异常分析、异常事件处置等与安全产品有关的咨询服务解答。 | WAF异常数据排查。 | 钉钉群信息推送。 | 5*8工作日内,按需提供30分钟内响应咨询、72小时内咨询工单闭环。 |
WAF策略调优指导。 | ||||
WAF产品问题咨询。 | ||||
接入与升级 | 提供WAF资产接入服务,协助配置安全策略,满足业务需求。 | WAF资产部署和接入。 | 钉钉群信息推送。 | 5*8工作日内,按需提供30分钟内响应咨询、72小时内咨询工单闭环。 |
协助进行WAF产品升级,处理WAF升级相关异常问题(Bot管理托管仅支持WAF 3.0)。 | 标准化WAF迁移协助。 | 钉钉群信息推送,WAF产品升级会议。 | 有。 | |
AntiBot对抗 | 定制AntiBot防护策略、分析bot防护数据、优化bot防护策略(前提需要业务接入风控类产品)。 | 沟通收集业务场景、核心防爬的API序列、SDK集成情况、业务风控产品情况等。 | AntiBot背景调研清单。 | 专职AntiBot对抗,5*8服务,30分钟内响应分析,2小时内提供优化建议。 |
定制WAF的场景防护策略。 | AntiBot场景防护策略清单。 | |||
AntiBot防护策略调优。 | 优化配置清单。 | |||
AntiBot各维度的访问、防护数据分析。 | AntiBot每日数据分析报告。 | |||
Bot管理产品侧功能评估及需求跟进。 | 钉钉群信息推送,每日报告体现。 | |||
安全监控 | 定制化AntiBot安全监控。 | 基于WAF AntiBot日志分析,配置定制化业务Bot监控。 | 定制化安全监控列表。 | 有。 |
| WAF周期巡检和安全监控。 | 钉钉群告警推送及告警分析。 |
| |
重保护航 | 提供业务重要活动护航服务,包括重保周期巡检、活动期间安全事件响应等。 | 业务重要活动护航。 | 重保护航日报。 | 业务重要活动护航服务 (5*8工作日)。 |
应急响应 | 提供WAF紧急安全事件的应急响应服务。 | 安全事件应急响应。 | 应急响应完成后,提供《应急响应报告》。触发条件包含如下两类场景:
|
|
总结与汇报 | 标准安全报告 、会议。 | 标准安全报告 、会议。 | 提供AntiBot防护月报以及分析沟通会议。 | 月度报告, 月度会议。 |
安全评估服务
服务分类 | 服务内容 | 交付内容细则 | 交付输出物 | SLA |
安全评估 | 针对云上整体安全性进行评估,通过对云上风险+暴露面进行分析帮助客户发现全面的云上安全风险。 | 安全运营能力评估。 通过访谈、调查等方式对安全成熟度进行评估,并给出安全建设建议。 | 安全评估报告。 | 无。 |
网络架构风险评估。 检查网络控制访问策略的合理性,针对不合理的策略,提出策略优化建议。 | ||||
云产品安全评估。 云主机进行基线巡检与风险管理,并输出修复建议与风险管理最佳实践,包括系统漏洞巡检。 | ||||
暴露面和攻击面风险评估。 系统性对云主机与云业务提供周期性资产暴露面、漏洞检测和管理服务,人工分析报告内容,并输出修复指导和风险管理最佳实践,包括:公网暴露风险、高危端口扫描,Web 漏洞扫描。 | ||||
账号安全风险评估。 AK泄露相关风险检测与评估。 | ||||
应用系统安全风险评估。 | ||||
云安全产品配置风险评估。 |
应急响应服务
安全技术人员远程提供的应急处理及分析服务,包括:
排查主机是否被黑客入侵。
对进行中的攻击进行处理,阻止黑客进一步攻击。
查找和清理挖矿程序、病毒、蠕虫、木马等恶意程序。
查找和清理Web站点中的WebShell、暗链、挂马页面等。
对因入侵而导致的异常进行处理,帮助客户快速恢复业务。
分析黑客入侵手法,尽可能定位入侵原因。
分析黑客入侵后的行为,判断入侵造成的影响。
本服务为一次性服务,提供安全应急服务报告,提供修复建议,指导用户进行安全加固,防止被再次入侵。