如果您希望同时管控多个阿里云账号的多个云产品(例如云防火墙、专有网络VPC等)中的安全告警和日志,您可以使用云安全中心威胁分析进行云上统一安全运营,对安全风险持续监测、检测分析、事件调查和响应处置闭环。
背景信息
随着云计算技术的快速发展,越来越多的企业将自身业务迁移到云上,云上资源的安全及合规性成为企业必须面对的问题。而随着网络攻击技术的不断发展,网络威胁也变得越来越多样化和复杂化,传统的安全防护手段已经无法满足需要。随着企业安全意识的提高,安全防护已经成为了企业信息化建设的重要组成部分,对于安全风险的识别和防范也越来越重视。
基于上述背景,阿里云推出了云安全中心威胁分析服务,旨在帮助您提高产品安全性并快速发现和响应安全事件。
功能原理
威胁分析是一种云原生安全信息和事件管理解决方案,通过采集不同阿里云账号和不同阿里云产品的安全日志及告警,并基于预定义和自定义的安全检测规则,对相关联的多来源告警及日志聚合分析,形成包含完整攻击链路的安全事件。
威胁分析同时提供事件处置响应编排能力,您可以创建自动化编排剧本,联动阿里云产品对指定资源进行处置、封禁、隔离等动作,方便您快速处置安全事件。
支持接入的云产品和日志
云厂商 | 产品名称 | 日志类型 |
阿里云 | 云安全中心(Security Center) |
|
Web 应用防火墙 WAF(Web Application Firewall) | WAF告警日志、WAF流日志、WAF 3.0流日志 | |
云防火墙(Cloud Firewall) | 云防火墙告警日志、云防火墙流日志 | |
DDoS 防护(Anti-DDoS) | DDoS新BGP高防流日志、DDoS高防流日志、DDoS原生防护日志 | |
运维安全中心(堡垒机)(Bastionhost) | 堡垒机日志 | |
CDN | CDN流日志、CDN WAF流日志 | |
API 网关(API Gateway) | API网关日志 | |
容器服务 Kubernetes 版 ACK(Container Service for Kubernetes) | K8s审计日志 | |
云原生数据库 PolarDB | PolarDB-X 1.0审计日志、PolarDB-X 2.0审计日志 | |
云数据库 MongoDB 版 | MongoDB运行日志、MongoDB审计日志 | |
云数据库 RDS(Relational Database Service) | RDS审计日志 | |
专有网络 VPC(Virtual Private Cloud) | VPC流日志 | |
弹性公网 IP EIP(Elastic IP Address) | 弹性网卡流日志 | |
负载均衡 SLB(Server Load Balancer) | CLB 7层日志、ALB流日志 | |
对象存储 OSS(Object Storage Service) | OSS批量删除日志、OSS计量日志、OSS流日志 | |
文件存储 NAS(Apsara File Storage NAS) | NAS NFS运行日志 | |
函数计算 FC(Function Compute) | 函数计算运行日志 | |
操作审计(ActionTrail) | 操作审计日志 | |
配置审计(CloudConfig) | 配置审计日志 | |
腾讯云 | Web应用防火墙 | Web应用防火墙告警日志 |
云防火墙 | 云防火墙告警日志 | |
华为云 | Web应用防火墙 | Web应用防火墙告警日志 |
云防火墙 | 云防火墙告警日志 |
功能优势
标准化数据采集
支持采集跨云平台(阿里云和第三方云厂商)、跨产品、跨账号的安全告警日志、网络日志、系统日志和应用日志等,对数据进行标准化、上下文增强。支持接入20+云产品、50+日志类型。
多维度威胁检测
基于多源数据关联分析、AI图计算推理、以及实时更新的威胁情报等威胁发现手段,补强南向安全设备的单点威胁检测能力。内置40+威胁检测场景,提供三大类事件分析模型。
高效的事件调查
聚合相关告警生成安全事件,自动还原攻击时间线和路径,安全事件对告警收敛率达万分之一,丰富事件调查上下文,加速告警、事件处置研判效率。
自动化响应编排
通过自动响应规则和编排剧本,联动多产品自动化处置恶意实体,如IP、文件、进程等,将应急响应经验流程化、常态化、自动化。
开通威胁分析后控制台的变化
开通威胁分析功能后,云安全中心会自动为您聚合已接入管控的多个阿里云账号和阿里云产品下的安全日志进行检测分析,云安全中心管理控制台的部分页面会产生变化。
页面名称 | 变更类型 | 说明 |
检测响应(导航栏目录) | 变更 | 导航栏目录名称变更为威胁分析。 |
安全告警处理 | 变更 | 页面名称变更为安全告警。您可以在安全告警页面,查看已接入的多账号和云产品下的安全告警。 在安全告警页面右上角,单击主机和容器安全告警或全局安全告警,可切换展示云安全中心的安全告警数据和威胁分析聚合后的安全告警数据。 |
事件处置 | 新增 | 您可以在事件处置页面,查看并处理由威胁分析聚合后的威胁事件。 |
规则管理 | 新增 | 您可以在规则管理页面,查看预定义的告警和事件规则,根据业务需求自定义告警和事件的产生规则。 |
响应编排 | 新增 | 您可以在响应编排页面,基于业务场景定义具体的事件处置动作,对接其他业务流程如通知、事件流转等功能,提升企业运维效率。 |
处置中心 | 新增 | 您可以在处置中心页面,通过处置策略和处置任务,实时监控事件的处置结果。 |
多账号安全管理 | 变更 | 新增威胁分析监控账号页签,支持在该页面配置威胁分析监控账号。 |
攻击分析 | 隐藏 | 开通威胁分析服务后,您可以在安全告警页面右上角,单击前往当前账号攻击分析,进入攻击分析页面。更多信息,请参见攻击分析。 |
事件调查 | 隐藏 | 开通威胁分析服务后,您可以在安全告警页面右上角,单击主机和容器安全告警,进入安全告警处理页面后,在告警名称列单击 |