云上安全保护伞--SLS威胁情报集成实战
简介: 威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议。
什么是威胁情报
根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。
阿里云威胁情报
威胁情报服务是阿里云提供的情报安全服务,结合威胁情报数据,通过对威胁来源进行实时自动化采集、分析、分类与关联,评估企业资产中存在的威胁并为改善安全状况提供建议。
威胁情报展示了近30天全球所有网上用户和客户企业已遭受的威胁统计数据,目前支持针对IP、域名、文件提供威胁情报。
SLS与威胁情报集成
日志审计简介
威胁情报集成
SLS日志审计服务与威胁情报服务深度集成,利用威胁情报服务提供的全球威胁情报评估能力,支持对接入SLS的多种云产品日志(Actiontrial、SLB、OSS、SAS等)进行威胁情报检测,有效识别云产品使用过程中存在的潜在威胁。也支持以告警方式将检测到的异常及时通知给相关的安全人员,从而提升威胁检查效率和响应速度。
- 对于RDS、Actiontrail、SAS等仅支持中心化的产品,开启威胁情报后,将在日志审计中心project下创建出中转logstore(transit_log)及威胁情报富化的数据加工任务,会产生产生额外的费用。
- 对于SLB、OSS等支持区域化的产品,必须开启中心化存储,才能支持威胁情报。
最佳实践
开启日志采集及威胁情报功能
日志审计提供了多种云产品的一键采集功能,同时针对于一些涉及外网访问的产品日志提供了威胁情报扫描功能。用户只需要根据需求,在日志审计控制台首页一键开启即可。
开启威胁情报告警
- 告警规则-> 渠道:日志审计服务 -> 类型:威胁情报,即可查看云产品日志告警规则。
- 点击对应告警项的开启关闭按钮即可控制告警开关。
- 参数设置
- 触发告警的威胁级别:当检测出的威胁级别达到或超过该值时,触发告警
- 日志条数阈值:20分钟内,同一个IP满足威胁级别条件的日志条数达到或超过该值时,触发告警
- 配置通知渠道配置:通过内置“SLS审计内置行动策略”,配置通知渠道。
- 触发告警及查看:当威胁发生时,SLS会将检测到当威胁情报通知给用户。
威胁分析
- 查看告警详情。上述告警,发现了SLB出现了威胁IP访问。点击详情会跳转到对应云产品的查询分析控制台。
- 不同云产品威胁情报字段。
- 威胁情报字段详情。
- 威胁情报控制台进一步分析
- 控制台地址,搜索对应的威胁详情。
可以发现,该ip存在暴力破解、WEB攻击的行为,且高危险等级。并结合自身业务做出该IP是否异常的判断。
威胁情报响应
- 威胁:
若断定为威胁情报,需要针对具体的云产品设置访问控制,拒绝异常访问。例如,可以给SLB配置访问控制,将威胁IP置为黑名单过滤。
- 误报:
告警提供了白名单机制,可以屏蔽误报IP。
原文链接
本文为阿里云原创内容,未经允许不得转载。
云上安全保护伞--SLS威胁情报集成实战相关推荐
- 亮剑“威胁情报”,锐捷、腾讯联手打造“狙击手”
张艺谋执导的第一部现代战争影片<狙击手>展现了抗美援朝后期"冷枪冷炮"运动中,我军神枪手群体的英勇事迹.影片中,狙击五班的战士们不惜战斗到只剩下一个人,也要将身负重大情 ...
- 利用好SOC与威胁情报 提高安全投入回报率
本文讲的是利用好SOC与威胁情报 提高安全投入回报率,过去几年,公司网络安全问题引起广泛关注,相应的,分配到对抗恶意渗透者上的预算也呈指数级上涨.Gartner数据显示,2016年安全支出增长了7.9 ...
- 《大数据大创新:阿里巴巴云上数据中台之道》-读书笔记
目录 0. 前言 1. 大数据的发展历程和价值探索 1.1 大数据发展的关键事件 1.2 大数据的内涵和外延 2.阿里的大数据主张 2.1 云上数据中台赋能业务运行图 2.2 阿里数据中台赋能业务全景 ...
- 腾讯安全与锐捷网络战略合作,威胁情报能力“被集成”
2月28日,腾讯安全和锐捷网络在北京联合举办"威胁情报"战略合作发布会.双方发布了一款集成了腾讯安全威胁情报的新一代防火墙,并举办战略合作签约仪式. 会上,锐捷网络安全产品事业部总 ...
- Beosin威胁情报预警 | MyCrypto技术研究员在纸钱包网站WalletGenerator.net上发现严重漏洞...
Beosin(成都链安)威胁情报预警:据Coindesk UTC时间5月27号17:00消息,MyCrypto研究员Harry Denley发现WalletGenerator.net上的私钥生成器存在 ...
- 日均 61 亿次攻击、挖矿病毒“卫冕”安全威胁之最,云上安全防御如何“战”?...
编者按:随着大数据.云计算技术的发展,上云成为企业数字化转型的重要途径,与之同时,云上的安全问题也备受业界关注.那么,云上主要有哪些安全风险与挑战?企业又有哪些亟需注意的事项?日前,阿里云安全运营中心 ...
- 阿里云SLS——云上的辛勤山寨者
2019独角兽企业重金招聘Python工程师标准>>> 阿里云 SLS 和 Amazon Kinesis 今天来到我的三篇日志系统分析文章的最后一篇,云上的日志分析系统.了解对象是云 ...
- 浅谈云上攻防 --SSRF 漏洞带来的新威胁
前言 在<浅谈云上攻防--元数据服务带来的安全挑战>一文中,生动形象的为我们讲述了元数据服务所面临的一系列安全问题,而其中的问题之一就是通过SSRF去攻击元数据服务:文中列举了2019年美 ...
- 零信任策略下云上安全信息与事件管理实践
简介:随着企业数字化转型的深入推进,网络安全越来越被企业所重视.为了构建完备的安全防御体系,企业通常会引入了防火墙(Firewall).防病毒系统(Anti-Virus System,AVS).入侵防 ...
最新文章
- [转]Passing data between pages in JQuery Mobile mobile.changePage
- hi3559 目标检测
- ReactNative环境配置的坑
- matlab div矩阵运算,【求助】多维矩阵求和运算!!
- [大數據、Big Data、巨量資料、海量資料]之分析模式工具
- Python DataFrame数据清洗后行索引不连续——reset_index
- html给span标签设置index,html – 绝对定位嵌套元素的z-index
- 内核中的内存申请:kmalloc、vmalloc、kzalloc、get_free_pages 之间的区别
- 数字图像处理 第四章 图像增强
- 分别在(ModelAtrs)Ascend、(Ubuntu16.04服务器+18.04镜像)GPU、(Ubuntu18.04)CPU下通过MindSpore实现(cifar10)图像分类
- 使用nodejs进行WEB开发
- cmd对应linux sleep命令,linux的sleep命令
- 微软 Edge 浏览器被指共享隐私遥测数据
- 自适应t分布与动态边界策略改进的算术优化算法
- VS 配置Directx
- 【可视化】使用PS将图片从白底换成其他底色时,如何保留头发边缘的发丝
- 使用esxcli命令升级VMware ESXi补丁
- 广东工业大学计算机学院张静,广东工业大学文件.doc
- 图形化生物软件专题(4):MEGAN
- [转]IDEA 出现编译错误 Multi-catches are not supported a this language level 解决方法
热门文章
- sql 删除最低分数_软件测试从业者:必备SQL语句21天打卡,前10天
- python中符号输入_Python基础(输入、运算符)
- android智能老人机系统,国产老人机也可以变智能!可运行Android
- python自然语言分析 何翠仪_如何用 Python 中的 NLTK 对中文进行分析和处理?
- linux kvm dhcp配置,《转》QEMU-KVM创建虚拟机自动指定IP的配置
- python登录并关注公众号_python微信公众号之关注公众号自动回复
- 内固定取出术后护理_股骨内固定钢板取出术后护理查房记录范文
- ssh linux 配置文件详解,Linux ssh服务常用配置的详细描述及建议配置
- 有没有什么方法快速能找到导致软件崩溃的进程_崩溃!电脑突然黑屏无法启动...
- android 屏幕飘动,Android自定义View实现飘动的叶子效果(三)