云安全中心支持自动化攻击溯源,可对攻击事件进行自动化溯源并提供原始数据预览。
背景信息
云安全中心攻击溯源功能结合多种云产品日志,通过大数据分析引擎对数据进行加工、聚合、可视化,形成攻击者入侵的链路图,帮助您在最短时间内定位入侵原因和制定应急决策。攻击溯源适用于云环境下的Web入侵、蠕虫事件、勒索病毒、主动连接恶意下载源等场景的应急响应与溯源。
云安全中心会在检测到威胁后10分钟,生成自动化攻击溯源的链路。建议您在告警发生10分钟后,再查看该告警相关的攻击溯源信息。
目前,云安全中心攻击溯源已支持所有安全告警类型。详细了解安全告警类型,请参见安全告警类型列表。
仅企业版支持自动化攻击溯源,基础版、基础杀毒版、高级版用户需升级到企业版才能使用该功能。
说明 安全告警触发后超过3个月,该告警的自动化攻击溯源信息将被自动清除。请您及时查看告警事件的攻击溯源信息。
限制说明
- 自动化攻击溯源是由安全大数据关联计算得出,部分攻击行为可能由于黑客攻击未形成攻击链而无法展示溯源信息,此类情况下可直接查看告警详情。
- 对于恶意进程(云查杀)这类告警,由于云安全中心会对此类攻击执行自动处理(告警状态为已防御),因此默认不提供恶意进程(云查杀)的攻击溯源信息。
操作步骤
- 在安全告警处理页面,定位到有溯源图标的告警事件,并单击溯源
图标。单击溯源,您可在告警溯源页面查看攻击告警名称、告警类型、影响的资源、攻击源IP、HTTP请求详情和攻击请求的详细内容。
在溯源可视图中,您可以查看该攻击溯源事件整个链路中各个节点的信息。单击各个节点展示该节点的节点属性页面,您可以查看该节点的相关信息。
告警溯源案例
- 蠕虫传播事件
下图描述了蠕虫传播源(例如:
185.234.*.*)通过SSH暴力破解成功登录到服务器,并通过bash执行curl指令从远端下载挖矿程序并在服务器中执行该挖矿程序。
- Web漏洞入侵事件
下图描述了黑客通过服务器(例如:
202.144.*.*)发起攻击,通过Web漏洞向Linux服务器植入恶意Shell脚本和挖矿程序,同时将代码写入计划任务(crond)实现攻击持久化。您可以通过溯源页面的节点信息,清晰地了解这一过程。此外,还可以观察到攻击者的多个IP及恶意下载源URL信息。
单击图中HTTP攻击节点查看详细信息。流量数据表明入侵者通过Apache Solr未授权访问漏洞控制API接口执行系统命令,您可以针对此漏洞快速进行修复。