什麼是威脅情報
根據
Gartner對威脅情報的定義,威脅情報是某種基于證據的知識,包括上下文、機制、标示、含義和能夠執行的建議。威脅情報描述了現存的、或者是即将出現針對資産的威脅或危險,并可以用于通知主體針對相關威脅或危險采取某種響應。業内大多數所說的威脅情報可以認為是狹義的威脅情報,其主要内容為用于識别和檢測威脅的失陷辨別,如檔案
HASH,
IP 域名,程式運作路徑,
系統資料庫項等,以及相關的歸屬标簽。
阿裡雲威脅情報
威脅情報服務是阿裡雲提供的情報安全服務,結合威脅情報資料,通過對威脅來源進行實時自動化采集、分析、分類與關聯,評估企業資産中存在的威脅并為改善安全狀況提供建議。
威脅情報展示了近30天全球所有網上使用者和客戶企業已遭受的威脅統計資料,目前支援針對IP、域名、檔案提供威脅情報。
SLS與威脅情報內建
日志審計簡介
威脅情報內建
SLS
日志審計服務與
威脅情報服務深度內建,利用威脅情報服務提供的全球威脅情報評估能力,支援對接入SLS的多種雲産品日志(Actiontrial、SLB、OSS、SAS等)進行威脅情報檢測,有效識别雲産品使用過程中存在的潛在威脅。也支援以告警方式将檢測到的異常及時通知給相關的安全人員,進而提升威脅檢查效率和響應速度。
- 對于RDS、Actiontrail、SAS等僅支援中心化的産品,開啟威脅情報後,将在日志審計中心project下建立出中轉logstore(transit_log)及 威脅情報富化的資料加工任務 ,會産生産生額外的費用。
- 對于SLB、OSS等支援區域化的産品,必須開啟中心化存儲,才能支援威脅情報。
最佳實踐
開啟日志采集及威脅情報功能
日志審計提供了多種雲産品的一鍵采集功能,同時針對于一些涉及外網通路的産品日志提供了威脅情報掃描功能。使用者隻需要根據需求,在日志審計控制台首頁一鍵開啟即可。
開啟威脅情報告警
- 告警規則-> 管道:日志審計服務 -> 類型:威脅情報,即可檢視雲産品日志告警規則。
- 點選對應告警項的開啟關閉按鈕即可控制告警開關。
- 參數設定
-
- 觸發告警的威脅級别:當檢測出的威脅級别達到或超過該值時,觸發告警
- 日志條數門檻值:20分鐘内,同一個IP滿足威脅級别條件的日志條數達到或超過該值時,觸發告警
- 配置通知管道配置:通過内置“SLS審計内置行動政策”,配置通知管道。
- 觸發告警及檢視:當威脅發生時,SLS會将檢測到當威脅情報通知給使用者。
威脅分析
- 檢視告警詳情。上述告警,發現了SLB出現了威脅IP通路。點選詳情會跳轉到對應雲産品的查詢分析控制台。
- 威脅情報控制台進一步分析
-
- 控制台位址 ,搜尋對應的威脅詳情。
可以發現,該ip存在暴力破解、WEB攻擊的行為,且高危險等級。并結合自身業務做出該IP是否異常的判斷。
威脅情報響應
- 威脅:
若斷定為威脅情報,需要針對具體的雲産品設定通路控制,拒絕異常通路。例如,可以給
SLB配置通路控制,将威脅IP置為黑名單過濾。
- 誤報:
告警提供了白名單機制,可以屏蔽誤報IP。
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)