云安全中心的Agentic SOC能够集中管理来自多云环境、多账户和多产品的告警和日志数据,并且通过处置策略及时处理安全威胁,帮助您提高安全运维效率,规避潜在风险。
Agentic SOC使用流程简介
Agentic SOC处理安全威胁的流程如下:
开通Agentic SOC服务。
接入云产品或安全厂商的日志。
设置并开启预定义或自定义的威胁检测规则,深入分析收集到的日志,识别并还原出完整的攻击链路。
识别安全威胁生成安全告警。
聚合多个安全告警生成安全事件。
根据处置策略(推荐处置策略、自定义处置策略)或者自动化响应编排,联动相关云产品对恶意实体执行封禁、隔离等安全措施。
目前仅阿里云、华为云、腾讯云接入日志可生成安全事件,并完成事件自动处理。其他安全厂商日志仅能形成安全告警,而且不支持自动处理。更多信息可参见接入安全厂商日志。
使用样例
本文以Agentic SOC利用自动化响应编排实现使用WAF自动化封禁攻击IP为例,解决使用Web应用防火墙WAF(Web Application Firewall)封禁攻击IP时,常见误封正常用户、配置复杂等问题。
前提条件
在WAF控制台接入需防护的域名或云产品。本文以WAF接入ECS实例为例,操作示例图如下,详细步骤可参考为ECS实例开启WAF防护。
在WAF控制台开启日志服务,并为WAF防护对象开启日志投递。操作示例图如下,详细步骤可参考开启WAF日志服务。
操作步骤
步骤一:开通Agentic SOC按量付费
登录云安全中心控制台,在Agentic SOC页面,单击开通按量付费。
在服务开通页面,取消开启日志接入策略的勾选,单击立即开通并授权。
警告接入策略会自动接入云安全中心、Web应用防火墙、云防火墙、操作审计的日志,并将根据实际的日志接入量进行计费,请谨慎勾选。本文以单一接入Web应用防火墙,不开启推荐接入策略为例。
开通后自动完成云安全中心服务关联角色的授权,更多信息可参见云安全中心服务关联角色。
步骤二:接入Web应用防火墙日志
若在步骤一中勾选了开启日志接入策略,Agentic SOC会自动接入Web应用防火墙日志,无需再手动配置,可忽略本步骤。
访问云安全中心控制台-Agentic SOC-接入中心,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
单击Web应用防火墙操作列的接入设置,并开启接接入策略。
说明系统将自动发现Web应用防火墙的日志库并写入对应的数据源。
步骤三:开启预定义检测规则
在云安全中心控制台页面。
在预定义页签,搜索WAF关联的规则后打开启用状态开关。
步骤四: 配置自动化响应规则
在云安全中心控制台页面。
在自动响应规则页签,单击新增规则。选择事件触发后,参考下图完成自动响应规则的创建。
步骤五:确认自动拦截效果
等待WAF已接入的ECS发生了攻击事件,您可以在安全事件处置页面查看对应的事件。
在处置中心页签,可查看事件命中自动响应规则后,运行剧本对攻击IP下发的处置策略和处置任务。
自动响应规则创建的处置策略
自动响应规则创建的处置任务
在Web应用防火墙控制台,查看Agentic SOC自动新增的攻击IP拦截规则。
下述步骤以WAF 3.0控制台为例介绍操作步骤。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
在Web 核心防护页面自定义规则区域,查看Agentic SOC自动下发的攻击IP拦截规则。
