如果您希望同时管控多个阿里云账号的多个云产品(例如云防火墙、专有网络VPC等)中的安全告警和日志,您可以使用云安全中心威胁分析进行云上统一安全运营,对安全风险持续监测、检测分析、事件调查和响应处置闭环。
背景信息
随着云计算技术的快速发展,越来越多的企业将自身业务迁移到云上,云上资源的安全及合规性成为企业必须面对的问题。而随着网络攻击技术的不断发展,网络威胁也变得越来越多样化和复杂化,传统的安全防护手段已经无法满足需要。随着企业安全意识的提高,安全防护已经成为了企业信息化建设的重要组成部分,对于安全风险的识别和防范也越来越重视。
基于上述背景,阿里云推出了云安全中心威胁分析服务,旨在帮助您提高产品安全性并快速发现和响应安全事件。
功能原理
云安全中心威胁分析是一种云原生安全信息和事件管理解决方案,通过采集不同阿里云账号和不同阿里云产品的安全日志及告警,并基于预定义和自定义的安全检测规则,对相关联的多来源告警及日志聚合分析,形成包含完整攻击链路的安全事件。
威胁分析同时提供事件处置响应编排能力,您可以创建自动化编排剧本,联动阿里云产品对指定资源进行处置、封禁、隔离等动作,方便您快速处置安全事件。
支持接入的云产品和日志
产品名称 | 日志类型 |
云安全中心(Security Center) |
|
Web 应用防火墙 WAF(Web Application Firewall) | WAF告警日志、WAF流日志、WAF 3.0流日志 |
云防火墙(Cloud Firewall) | 云防火墙告警日志、云防火墙流日志 |
DDoS 防护(Anti-DDoS) | DDoS新BGP高防流日志、DDoS高防流日志、DDoS原生防护日志 |
运维安全中心(堡垒机)(Bastionhost) | 堡垒机日志 |
CDN | CDN流日志、CDN WAF流日志 |
API 网关(API Gateway) | API网关日志 |
容器服务 Kubernetes 版 ACK(Container Service for Kubernetes) | K8s审计日志 |
云原生数据库 PolarDB | PolarDB-X 1.0审计日志、PolarDB-X 2.0审计日志 |
云数据库 MongoDB 版 | MongoDB运行日志、MongoDB审计日志 |
云数据库 RDS(Relational Database Service) | RDS审计日志 |
专有网络 VPC(Virtual Private Cloud) | VPC流日志 |
弹性公网 EIP(Elastic IP Address) | 弹性网卡流日志 |
负载均衡 SLB(Server Load Balancer) | CLB 7层日志、ALB流日志 |
对象存储 OSS(Object Storage Service) | OSS批量删除日志、OSS计量日志、OSS流日志 |
文件存储 NAS(Apsara File Storage NAS) | NAS NFS运行日志 |
函数计算 FC(Function Compute) | 函数计算运行日志 |
操作审计(ActionTrail) | 操作审计日志 |
配置审计(CloudConfig) | 配置审计日志 |
功能优势
云上威胁统一管理
支持统一管理云上多账号、多产品告警,集中呈现云上整体安全态势,实时监控云上业务整体安全,提升安全运营效率。
丰富的检测规则
支持丰富的预定义规则和自定义规则,结合云端安全专家经验,通过对多产品的日志、行为进行关联分析发现攻击前置阶段或者沦陷后横向移动的行为特征,发现未知威胁。
威胁事件快速响应
通过内置事件处置流程及常见的自动化编排为用户提供威胁事件的快速响应能力。
AI算法赋能
使用AI模型参与威胁调查及可视化溯源,并结合威胁情报降低误报率,实现检测、响应、溯源的自动化运营闭环,保护整体业务安全的同时提高运维效率。
开通威胁分析后控制台的变化
开通威胁分析功能后,云安全中心会自动为您聚合已接入管控的多个阿里云账号和阿里云产品下的安全日志进行检测分析,云安全中心管理控制台的部分页面会产生变化。
页面名称 | 变更类型 | 说明 |
检测响应(导航栏目录) | 变更 | 导航栏目录名称变更为威胁分析。 |
安全告警处理 | 变更 | 页面名称变更为安全告警。您可以在安全告警页面,查看已接入的多账号和云产品下的安全告警。 在安全告警页面右上角,单击主机和容器安全告警或全局安全告警,可切换展示云安全中心的安全告警数据和威胁分析聚合后的安全告警数据。 |
事件处置 | 新增 | 您可以在事件处置页面,查看并处理由威胁分析聚合后的威胁事件。 |
日志分析 | 变更 | 您可以在日志分析页面,查看已接入的多账号和云产品的日志。 在日志分析页面右上角,单击前往当前账号日志分析或前往全局日志分析,可切换进入原云安全中心日志分析页面和威胁分析的日志分析页面。 |
规则管理 | 新增 | 您可以在规则管理页面,查看预定义的告警和事件规则,根据业务需求自定义告警和事件的产生规则。 |
响应编排 | 新增 | 您可以在响应编排页面,基于业务场景定义具体的事件处置动作,对接其他业务流程如通知、事件流转等功能,提升企业运维效率。 |
处置中心 | 新增 | 您可以在处置中心页面,通过处置策略和处置任务,实时监控事件的处置结果。 |
多账号安全管理 | 变更 | 新增威胁分析监控账号页签,支持在该页面配置威胁分析监控账号。 |
攻击分析 | 隐藏 | 开通威胁分析服务后,您可以在安全告警页面右上角,单击前往当前账号攻击分析,进入攻击分析页面。更多信息,请参见攻击分析。 |
事件调查 | 隐藏 | 开通威胁分析服务后,您可以在安全告警页面右上角,单击主机和容器安全告警,进入安全告警处理页面后,在告警名称列单击  |
图标,进入事件调查页面。更多信息,请参见