統一管理混合雲安全警示和事件 - Security Center

在日益複雜的網路安全環境中，組織和企業面臨著如何在眾多分散的系統中有效追蹤和管理大量的安全警示和日誌的挑戰。通過Security Center的威脅分析與響應CTDR（Cloud Threat Detection and Response）服務，您將能夠集中處理來自多雲環境、多賬戶和多產品的警示和日誌資料，提高安全營運效率，加強對潛在風險的響應能力。

企業安全營運面臨的挑戰

資料片段化：不同安全裝置和服務可能產生大量的日誌資訊，但如果沒有一個統一的平台來收集、分析這些資訊，就很難形成全面的安全視圖。這可能導致重要的安全事件被忽略。
響應速度慢：手動處理來自多個來源的安全警報耗時且容易出錯。缺乏自動化工具意味著團隊需要花費更多時間去識別真正的威脅，並採取行動，這會延緩對潛在攻擊的回應時間。
難以檢測複雜攻擊：現代網路攻擊往往非常複雜，涉及多階段、跨系統的活動。沒有強大的關聯分析能力，僅憑單一視角或簡單規則很難發現這類隱蔽性高的攻擊行為。
合規性問題：許多行業都有嚴格的資料保護法規要求，如GDPR、HIPAA等。缺少有效監控手段可能導致企業無法滿足相關法律法規的要求，從而面臨法律風險。
資源浪費：在沒有統一安全營運平台工具的情況下，安全團隊可能需要不斷地檢查各種不同的系統以尋找異常情況，這種做法不僅效率低下，還可能造成人力資源的浪費。
缺乏洞察力：長期來看，不能有效地利用歷史資料進行趨勢分析和模式識別，將限制企業對未來威脅做出預測的能力，進而影響整體的安全性原則規劃。
成本增加：雖然初期投資統一威脅檢測與響應系統會產生一定的成本，但從長遠角度來看，通過減少誤判率、提高工作效率以及避免因安全性漏洞導致的資料泄露等事故，實際上可以協助企業節省大量成本。

功能介紹

工作原理

威脅分析與響應是一款雲原生安全資訊和事件管理解決方案，主要提供日誌標準化、警示產生、彙總分析、事件響應編排等能力。

威脅分析與響應通過整合多雲、多帳號、多產品和不同安全廠商的日誌，利用預定義和自訂的威脅檢測規則，深入分析收集到的日誌，從而識別並還原出完整的攻擊鏈路，並形成詳細的安全事件。在檢測到安全威脅時，威脅分析與響應能夠啟動自動化響應編排，聯動相關雲產品對惡意實體執行封鎖、隔離等安全措施，以實現快速且有效安全事件處置。

功能特性

標準化資料接入
接入跨雲平台、跨產品、跨帳號的安全警示日誌、部落格、系統日誌、應用日誌等，對資料進行標準化、上下文增強。
多維度威脅檢測
基於多來源資料關聯分析、AI圖計算推理、以及即時更新的威脅情報等威脅發現手段，強化南向安全裝置的單點威脅檢測能力。預定義跨資料來源威脅檢測規則，提供四大類型事件分析模型：專家規則、圖計算、警示透傳、同類彙總。
高效的事件調查
彙總相關警示產生安全事件，自動還原攻擊時間軸和路徑，安全事件對警示收斂率達萬分之一，豐富事件調查上下文，加速警示、事件處置研判效率。
自動化響應編排
通過自動響應規則和編排劇本，聯動多產品自動化處置惡意實體，如IP、檔案、進程等，將應急響應經驗流程化、常態化、自動化。

支援接入的產品和日誌

威脅分析與響應支援接入30+產品、60+日誌類型。具體支援的雲產品和日誌資訊如下表所示：

廠商	產品名稱	日誌類型
阿里雲	Security Center	安全警示日誌、雲平台配置檢查日誌、漏洞日誌、基準日誌登入流水日誌、網路連接日誌、進程開機記錄、檔案讀寫日誌、Mysql/FTP登入失敗日誌、暴力破解日誌網路快照日誌、帳號快照日誌、進程快照日誌、連接埠快照日誌 DNS解析日誌、Web訪問日誌、網路會話日誌、DNS請求日誌
	Web Application Firewall (WAF)	WAF警示日誌、WAF CDN流日誌（僅支援在中國地區接入）、WAF2.0全量/攔截/攔截和觀察日誌、WAF3.0全量/攔截/攔截和觀察日誌
	Cloud Firewall	Cloud Firewall警示日誌、Cloud Firewall即時警示日誌、Cloud Firewall流量日誌
	Anti-DDoS	DDoS高防全量日誌、DDoS高防流日誌（老高防）、DDoS原生防護日誌
	Bastionhost	Bastionhost日誌
	CDN	CDN流日誌、CDN WAF流日誌
	Edge Security Acceleration (ESA)	DCDN 邊緣函數日誌、DCDN 使用者訪問日誌、DCDN WAF攔截日誌
	API Gateway	API Gateway日誌
	Container Service for Kubernetes (ACK)	K8s審計日誌
	PolarDB	PolarDB-X 1.0 SQL審計日誌、PolarDB-X 2.0 SQL審計日誌
	ApsaraDB for MongoDB	MongoDB作業記錄、MongoDB審計日誌
	雲資料庫 RDS（Relational Database Service）	RDS SQL審計日誌
	Virtual Private Cloud (VPC)	VPC流日誌
	Elastic IP Address (EIP)	Elastic IP Address日誌
	Server Load Balancer (SLB)	ALB訪問日誌、CLB訪問日誌
	Object Storage Service (OSS)	OSS訪問日誌、OSS大量刪除日誌、OSS每小時計量日誌
	File Storage NAS	NAS NFS作業記錄
	Function Compute (FC)	Function Compute作業記錄
	ActionTrail	Action Trail事件記錄
	CloudConfig	配置審計日誌
騰訊雲	Web Application Firewall	騰訊雲Web Application Firewall警示日誌
騰訊雲	Cloud Firewall	騰訊云云防火牆警示日誌
華為雲	Web Application Firewall	華為雲Web Application Firewall警示日誌
華為雲	Cloud Firewall	華為云云防火牆警示日誌

應用情境

威脅分析與響應是一款整合了多種功能的雲原生安全資訊和事件管理平台，旨在協助企業使用者更高效地管理和應對安全威脅，簡化安全營運流程。以下是威脅分析與響應的一些典型應用情境：

跨雲、跨帳號、跨產品資料的統一歸集與審計
威脅分析與響應可以將跨雲環境、跨雲帳號和跨產品的日誌資料進行統一歸集，您可以通過設定全域帳號管理員在Security Center控制台集中查看和審計，輕鬆監控跨平台的安全事件，簡化了資料分析和安全審計的工作。
統一威脅營運與監測
通過提供一個全域的資料監控和分析視角，威脅分析與響應讓您能在單一的Security Center控制台對多個產品進行威脅監控和營運管理，加快企業對安全事件的發現和響應速度。
全域視野風險分析與警示降噪
威脅分析與響應最佳化了日誌資料處理，通過彙總和篩選警示資料，有效降低了警示的數量和頻率，協助安全團隊聚焦於更重要的安全威脅，減少了資訊過載和誤判。
安全事件自動化響應與處置
自動化響應和處置能力讓安全團隊能夠迅速採取行動，對監測到的威脅進行處理，如封鎖惡意源或隔離受影響的資源，顯著提高了對安全事件的應對速度和整體安全效能。

購買及開通威脅分析與響應

支援通過訂用帳戶（購買日誌接入流量）或隨用隨付的方式開通CTDR的產品接入、威脅檢測、事件處置和編排響應能力。使用日誌管理功能需購買日誌儲存容量，日誌儲存容量僅支援通過訂用帳戶的方式購買。您可以根據實際情況選擇相應的購買方式。

訂用帳戶購買

登入Security Center控制台。
在左側導覽列，選擇檢測響應 > 威脅分析與響應。
在威脅分析與響應頁面，單擊開通訂用帳戶。
在快速購買頁簽，購買方式保持預設選項訂用帳戶，設定威脅分析與響應是否選購為是，並設定需要購買的日志接入流量和日誌儲存容量。
您可以參考下文設定威脅分析與響應的購買項，關於Security Center版本選擇和其他服務選購說明，請參見購買Security Center。
- 日誌接入流量：選擇每天需接入威脅分析與響應進行分析的日誌流量，單位為GB/天。起售量100 GB/天，購買步長為100 GB/天。購買該項後，您可以使用CTDR除日誌管理、規則管理（自訂規則）、儀表板功能外的其他功能。
  重要
  - 未開通威脅分析與響應隨用隨付時，日誌接入流量為必選項。
  - 開通威脅分析與響應隨用隨付時，日誌接入流量該項將不再顯示。
  您可以通過以下方式估算需購買的日誌接入流量：
  - 根據已開通的Log Service容量評估：
    日誌接入流量（GB/天）=日誌儲存容量/TTL
    - 日誌儲存容量為需接入威脅分析與響應的日誌源已使用的日誌儲存空間。
    - TTL為日誌儲存時間。
  - 根據日誌接入數量EPS評估：
    日誌接入流量（GB/天）=EPS*86400s*SIZE/(1024*1024)
    - EPS全稱為Event Per Second，一天內接入威脅分析的原始日誌的數量。
    - SIZE為每條日誌的大小，一般範圍為3~7 KB。
- 日誌儲存容量（可選）：選擇需使用的日誌儲存容量，1,000 GB起售，購買步長為1,000 GB。推薦為每台伺服器配置120 GB日誌儲存容量，或按照Security Center日誌分析儲存容量的3倍進行配置。更多資訊，請參見日誌管理。
仔細閱讀並選中Security Center服務合約，單擊立即購買並完成支付。
登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。
在左側導覽列，選擇檢測響應 > 威脅分析與響應。
在威脅分析與響應頁面，單擊去授權。
預設選中確認開啟推薦日志接入策略，以識別雲上安全事件。選中該配置項並完成授權操作後，CTDR將自動接入當前阿里雲帳號的Security Center、Web Application Firewall、Cloud Firewall和Action Trail產品的日誌。更多資訊，請參見推薦日誌接入策略說明。如果未選中該配置項，您需要自行將日誌接入CTDR。
執行完授權操作後，Security Center將自動建立服務關聯角色AliyunServiceRoleForSasCloudSiem，以便CTDR使用該服務關聯角色訪問您其他雲產品中的資源。更多資訊，請參見Security Center服務關聯角色。

開通隨用隨付

登入Security Center控制台。
在左側導覽列，選擇檢測響應 > 威脅分析與響應。
在威脅分析與響應頁面，單擊开通按量付费。
在正在開通Security Center隨用隨付對話方塊，仔細閱讀計費規則說明，選中或取消選中開啟日誌接入策略，單擊立即開通並授權。
選中開啟日誌接入策略並完成授權操作後，CTDR才會自動接入當前阿里雲帳號的Security Center、Web Application Firewall、Cloud Firewall和Action Trail產品的日誌。請在確認推薦的日誌接入策略符合您所需的日誌類型後，再選中該選項。更多資訊，請參見推薦日誌接入策略說明。
重要
啟用推薦日誌接入策略後，系統將自動把指定的日誌類型接入CTDR。Security Center將根據實際的日誌接入量，在次日產生相應的賬單。
執行完該操作後，Security Center將自動建立服務關聯角色AliyunServiceRoleForSasCloudSiem，以便CTDR使用該服務關聯角色訪問您其他雲產品中的資源。更多資訊，請參見Security Center服務關聯角色。

開通後控制台的變化

開通威脅分析與響應服務後，Security Center管理主控台的功能模組頁面會產生變化。

功能模組

變更說明

檢測響應

導覽列目錄名稱由檢測響應變更為威脅分析與響應，新增威脅分析與響應的功能模組頁面，例如安全事件處置、日誌管理等。同時原來的以下頁面會發生變更：

安全告警：該頁面會去掉更多安全產品警示頁簽，新增彙總分析警示、自訂分析警示、防火牆（Firewall）、Web Application Firewall（WAF）和其他頁簽。
攻擊意識：預設隱藏。
您可以在警報頁面右上方單擊攻擊意識，進入Security Center攻擊意識頁面。更多資訊，請參見攻擊分析。
事件调查：預設隱藏。
您可以在警報頁面雲工作負載保護平台(CWPP)頁簽，在警示名稱列單擊表徵圖，進入事件调查頁面。更多資訊，請參見查看和處理安全警示。

系統配置 > 多帳號安全管理

在多帳號安全管理頁面配置頁簽，新增威脅分析監控帳號模組。

威脅分析與響應的全域帳號管理員在該模組可管理需要接入威脅分析與響應的其他阿里雲帳號。

基本概念

在使用威脅分析與響應的過程中，您可能會碰到一些專業術語。為了協助您更好地理解這些術語，我們提供了相應的定義和解釋供您參考。

概念	解釋
處置策略	處置策略是以處置情境為最小單位的警示處置詳情。每個處置實體在每個處置情境的處置結果均會產生一條處置策略。
處置任務	處置任務是以範圍為最小單元的警示處置詳情。在事件處置過程中，每個處置實體的每個處置情境會根據範圍拆分成多個處置任務。
處置實體/實體	指關聯警示的核心對象，包括IP地址、檔案名稱、進程名稱等。
響應編排	指在安全事件發生時，通過自動化工具和流程來組織和管理安全響應措施的一系列動作。這種方式能夠協助組織快速、有效地對安全事件做出反應，減少人工幹預，提高處置效率。
劇本（PlayBook）	響應編排的劇本，是由一系列預設的響應策略組成，並可在特定事件觸發時自動執行的自動化安全工作流程。編寫劇本類似於繪製流程圖，包含流程的起始點、判定環節、具體動作和終結點。您可以通過可視化編輯介面自訂每個環節的特定動作，如定義終端管理組件的禁用網路動作。
組件（Component）	與外部系統或服務的介面，如Web Application Firewall、Cloud Firewall、資料庫、通知服務等。組件作為外部服務的連接器，本身不處理複雜的邏輯，而是依賴於所串連的系統或服務。在選擇組件後，您需要指定對應的資源和動作。組件分為流程編排組件、基礎編排組件和安全應用組件。
資源執行個體（Resource Instance）	指定與組件相關聯的具體外部服務詳情。例如，對於MySQL組件，如果企業有多個MySQL服務執行個體，您需要明確要串連的具體資料庫執行個體。
動作（Action）	組件的具體執行能力，一個組件可能包含多種動作。以終端管理軟體為例，可能包括如禁用賬戶、隔離網路、發送通知等動作。

序號	阿里雲產品	資料來源	標準化日誌分類	支援的安全能力
1	Security Center	安全警示日誌	安全日誌-警示日誌	預定義分析規則事件調查溯源響應處置聯動
2		漏洞日誌	安全日誌-漏洞日誌	事件調查溯源
3		基準日誌	安全日誌-主機基準日誌	事件調查溯源
4		登入流水日誌	登入日誌-主機登入日誌	事件調查溯源
5		Web訪問日誌	部落格-HTTP日誌	預定義分析規則
6		檔案讀寫日誌	主機日誌-進程檔案讀寫日誌	事件調查溯源
7		進程開機記錄	主機日誌-進程開機記錄	預定義分析規則事件調查溯源
8		DNS請求日誌	主機日誌-進程請求DNS日誌	預定義分析規則事件調查溯源
9		網路連接日誌	主機日誌-進程網路外聯日誌	預定義分析規則事件調查溯源
10	Web Application Firewall	WAF警示日誌	安全日誌-Web Application Firewall警示日誌	預定義分析規則事件調查溯源響應處置聯動
11		WAF2.0全量/攔截/攔截和觀察日誌	部落格-HTTP日誌	預定義分析規則
12		WAF3.0全量/攔截/攔截和觀察日誌	部落格-HTTP日誌	預定義分析規則
13	Cloud Firewall	Cloud Firewall即時警示日誌	安全日誌-防火牆警示日誌	預定義分析規則事件調查溯源響應處置聯動
14	Action Trail	Action Trail事件記錄	審計日誌-雲平台Action Trail日誌	事件調查溯源

Security Center：什麼是威脅分析與響應