背景
雲資産安全形勢
資訊時代越來越發達,網絡資訊安全形勢愈加嚴峻,剛剛過去的2018年,安全事件頻發且非常嚴重。2018年1月爆出
幽靈漏洞嚴重影響大面積的CPU、作業系統、路由器等基礎設施。3月份Facebook被暴出
3000萬客戶資料被洩露,同月黑客利用漏洞
感染了歐洲歐洲40萬台機器;國内5月份,某快遞公司被暴出
上億條客戶資訊被黑客盜取,8月某酒店集團的
1.3億條使用者以及2.4億條開房記錄洩露。
根據
RedLock2018年5月的雲安全報告,使用雲資産的企業中51%的存在配置錯誤、27%存在賬戶被竊取、24%的雲主機存在重要安全漏洞未打更新檔、還有25%的企業有雲資産被黑客用來挖礦。
阿裡雲安騎士
阿裡雲安騎士(伺服器安全護衛)是一款經受百萬級伺服器穩定性考驗的安全加強産品,擁有自動化實時入侵威脅檢測、病毒清除、漏洞智能修複、基線一鍵核查、網頁防篡改等功能,是建構伺服器安全防線的統一管理平台。
阿裡雲日志服務
阿裡雲的日志服務(log service)是針對日志類資料的一站式服務,無需開發就能快捷完成海量日志資料的采集、消費、投遞以及查詢分析等功能,提升運維、營運效率。日志服務主要包括 實時采集與消費、資料投遞、查詢與實時分析 等功能,适用于從實時監控到資料倉庫的各種開發、運維、營運與安全場景:
安騎士實時日志分析介紹
目前,
安騎士與
日志服務打通,對外開放平台依賴或者産生的日志,包括主機、安全共11種子類日志。提供近實時的日志自動采集存儲、并提供基于日志服務的查詢分析、報表報警、下遊計算對接與投遞的能力。
釋出地域
- 國内
适用客戶
- 對雲上資産的主機、及安全日志有存儲合規需求的大型企業與機構,如金融公司、政府類機構等。
- 擁有自己的安全營運中心(SOC),需要收集安全告警等日志進行中央營運管理的企業,如大型地産、電商、金融公司、政府類機構等。
- 擁有較強技術能力,需要基于雲上資産的日志進行深度分析、對告警進行自動化處理的企業,如IT、遊戲、金融公司等。
功能優勢
- 快速:安全與主機日志分析從十幾分鐘級提升為秒級
- 全面:覆寫主機、安全類共 11種子類日志
- 靈活:所見即所得分析能力, 内置6張報表 ,使用者可以自定義建構業務視圖、告警等
- 開放:與阿裡雲、開源生态下流計算、大資料系統融合,對合作夥伴開放
- 合規:免費提供180天日志存儲,提供相應資料檢索能力以及資料對接能力
限制說明
安騎士所存儲的日志庫屬于專屬的日志庫,有如下限制:
- 使用者無法通過API/SDK等方式寫入資料,或者修改日志庫的屬性(例如存儲周期等)
- 其他日志庫的功能,例如查詢、統計、報警、流式消費等均支援與一般日志庫無差别
- 日志服務對專屬日志庫不進行任何收費,但日志服務本身需處于可用狀态(不超期欠費)
- 内置的報表可能會在以後更新并更新
使用場景
1.追蹤主機登入、程序啟動、網絡連結,溯源安全威脅:
可以在日志服務的日志庫中進行互動式查詢:
也支援标準SQL92文法,并融合多種擴充分析函數,參考
查詢分析日志 2. 實時檢視主機活動,洞察狀态與趨勢:
可以使用内置報表,洞察主機、安全狀況,具體參考
内置報表,使用者甚至可以免費建構自己的報表大盤。
3. 快速了解安全營運效率,即時回報處理:
可以檢視内置營運活動報表,了解營運效率:
也可以在日志查詢分析的結果上,基于特定條件建立個性化的告警通知,以便第一時間處理,日志服務支援多種告警模式(例如釘釘、短信等),并支援自定義告警内容模闆:
4. 輸出安全網絡日志到自建資料與計算中心
使用日志服務,支援多種形式将日志導出到您的SOC、OSS或者流式計算引擎當中,具體可以參考
日志服務與Splunk內建實戰、
日志服務與SIEM內建實戰(syslog) 進一步參考
進一步參考相關使用者手冊與最佳實踐:
- 阿裡雲安騎士 - 簡介
- 阿裡雲安騎士 - 配置實時日志
- 阿裡雲安騎士 - 日志類别
- 阿裡雲安騎士 - 内置報表
- 阿裡雲安騎士 - 進階管理
- 掃碼加入官方釘釘群 (11775223):
重磅釋出:阿裡雲伺服器安全(安騎士)日志 - 實時分析背景安騎士實時日志分析介紹使用場景進一步參考