云安全中心云蜜罐为您提供云上攻击收集、分析和告警能力。您可以在阿里云VPC下创建蜜罐实例,来诱捕您服务器在云上受到的真实攻击,加固您服务器的安全防护。本文介绍如何创建蜜罐实例并查看蜜罐捕捉到的安全风险。

版本限制说明

仅企业版和旗舰版支持该功能,其他版本用户需要升级到企业版或旗舰版才可使用该功能。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配。各版本的功能详情,请参见功能特性

限制条件

  • 仅支持在阿里云VPC下创建蜜罐实例,不支持在其他网络下创建。每个VPC下仅支持创建一个蜜罐实例。
  • 云蜜罐功能公测中,目前支持在以下地域和可用区内的VPC和交换机下创建蜜罐实例。
    地域 城市 地域ID
    华北1 青岛 cn-qingdao
    华北2 北京 cn-beijing
    华北3 张家口 cn-zhangjiakou
    华北5 呼和浩特 cn-huhehaote
    华北6 乌兰察布 cn-wulanchabu
    华东1 杭州 cn-hangzhou
    华东2 上海 cn-shanghai
    华南1 深圳 cn-shenzhen
    华南2 河源 cn-heyuan
    华南3 广州 cn-guangzhou
    西南1 成都 cn-chengdu
    中国香港 香港 cn-hongkong
    亚太东北1 东京 ap-northeast-1
    亚太东南1 新加坡 ap-southeast-1
    亚太东南2 悉尼 ap-southeast-2
    亚太东南5 雅加达 ap-southeast-5
    亚太南部1 孟买 ap-south-1
    美国东部1 弗吉尼亚 us-east-1
    美国西部1 硅谷 us-west-1
    英国 伦敦 eu-west-1
    中东东部1 迪拜 me-east-1
    欧洲中部1 法兰克福 eu-central-1
    注意 如果已有的VPC和交换机未在以上地域和可用区内,您可以提交工单并附上VPC及对应地域和可用区的信息申请试用云蜜罐功能。在审核通过后,云安全中心会为您开通该功能。
  • 云安全中心默认为您提供3个授权数,创建一个蜜罐实例会消耗一个授权数,即您最多可以创建3个蜜罐实例。您可以在创建蜜罐面板查看可用授权数。如果您需要更多的授权数,请提交工单申请。

创建蜜罐实例

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择威胁检测 > 云蜜罐
  3. 云蜜罐页面,单击蜜罐状态页签。
  4. 蜜罐状态页签下,单击创建蜜罐
  5. 创建蜜罐面板,配置地域、VPC和交换机信息。创建蜜罐
  6. 单击确定
    创建完成后,该蜜罐状态会变为正在运行,该蜜罐会诱捕您VPC里的攻击行为,发现安全风险时会发送告警信息。您可以在风险总览页面查看发现的告警信息。更多信息,请参见查看蜜罐风险总览。您还可以对已创建的蜜罐执行以下操作:
    • 暂停蜜罐:如果需要暂停正在运行中的蜜罐的诱捕行为,您可以单击该蜜罐操作列的暂停
    • 开启蜜罐:如果需要为暂停诱捕的蜜罐重新开启诱捕行为,您可以单击该蜜罐操作列的开启
    • 删除蜜罐:如果不再需要某个蜜罐,您可以单击该蜜罐操作列的删除。执行删除操作后,该蜜罐实例状态为删除中。删除操作完成后,将释放当前正在使用的授权数。
      说明 删除蜜罐后,该蜜罐在删除前上报的告警信息仍会保留,您可以在风险总览页面查看相应告警信息。

查看蜜罐风险总览

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择威胁检测 > 云蜜罐
  3. 风险总览页签下,查看Top 5风险VPC、Top 5风险资产和告警列表。
    以下是Top 5风险VPC、Top 5风险资产和告警列表的介绍:
    • Top 5风险VPC:展示今天、近一周或近一月风险数排名前5的VPC信息。
    • Top 5风险资产:展示今天、近一周或近一月风险数排名前5的资产信息。
    • 告警列表:展示蜜罐在您资产中检测到的告警信息,包告警风险等级、事件名称、最新发生时间和受影响资产。支持使用事件名称及风险等级筛选告警信息。
    说明 Top 5风险VPC和Top 5风险资产中的VPC和服务器资产存在较大的安全风险,建议您及时处理相关风险。
  4. 单击需查看的告警操作列的详情,查看该告警详细信息。
    您可以查看以下信息:
    • 受影响资产:单击受影响资产名称,可以跳转到该资产详情页面,查看该资产的漏洞、基线等风险信息。
    • 首次发生时间:首次检测到该告警的时间。
    • 更新时间:最近一次检测到该告警的时间。
    • 关联异常:和该告警关联的异常情况。支持查看该告警事件关联的所有异常情况的详细信息和建议解决方案。