简介: 威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议。

什么是威胁情报

根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。

阿里云威胁情报

威胁情报服务是阿里云提供的情报安全服务,结合威胁情报数据,通过对威胁来源进行实时自动化采集、分析、分类与关联,评估企业资产中存在的威胁并为改善安全状况提供建议。

威胁情报展示了近30天全球所有网上用户和客户企业已遭受的威胁统计数据,目前支持针对IP、域名、文件提供威胁情报。

SLS与威胁情报集成

日志审计简介

威胁情报集成

SLS日志审计服务与威胁情报服务深度集成,利用威胁情报服务提供的全球威胁情报评估能力,支持对接入SLS的多种云产品日志(Actiontrial、SLB、OSS、SAS等)进行威胁情报检测,有效识别云产品使用过程中存在的潜在威胁。也支持以告警方式将检测到的异常及时通知给相关的安全人员,从而提升威胁检查效率和响应速度。

  • 对于RDS、Actiontrail、SAS等仅支持中心化的产品,开启威胁情报后,将在日志审计中心project下创建出中转logstore(transit_log)及威胁情报富化的数据加工任务,会产生产生额外的费用。
  • 对于SLB、OSS等支持区域化的产品,必须开启中心化存储,才能支持威胁情报。

最佳实践

开启日志采集及威胁情报功能

日志审计提供了多种云产品的一键采集功能,同时针对于一些涉及外网访问的产品日志提供了威胁情报扫描功能。用户只需要根据需求,在日志审计控制台首页一键开启即可。

开启威胁情报告警

  • 告警规则-> 渠道:日志审计服务 -> 类型:威胁情报,即可查看云产品日志告警规则。

  • 点击对应告警项的开启关闭按钮即可控制告警开关。

  • 参数设置
  • 触发告警的威胁级别:当检测出的威胁级别达到或超过该值时,触发告警
  • 日志条数阈值:20分钟内,同一个IP满足威胁级别条件的日志条数达到或超过该值时,触发告警

  • 配置通知渠道配置:通过内置“SLS审计内置行动策略”,配置通知渠道。

  • 触发告警及查看:当威胁发生时,SLS会将检测到当威胁情报通知给用户。

威胁分析

  • 查看告警详情。上述告警,发现了SLB出现了威胁IP访问。点击详情会跳转到对应云产品的查询分析控制台。
  • 不同云产品威胁情报字段。
  • 威胁情报字段详情。

  • 威胁情报控制台进一步分析
  • 控制台地址,搜索对应的威胁详情。

可以发现,该ip存在暴力破解、WEB攻击的行为,且高危险等级。并结合自身业务做出该IP是否异常的判断。

威胁情报响应

  • 威胁:

若断定为威胁情报,需要针对具体的云产品设置访问控制,拒绝异常访问。例如,可以给SLB配置访问控制,将威胁IP置为黑名单过滤。

  • 误报:

告警提供了白名单机制,可以屏蔽误报IP。

原文链接

本文为阿里云原创内容,未经允许不得转载。

云上安全保护伞--SLS威胁情报集成实战相关推荐

  1. 亮剑“威胁情报”,锐捷、腾讯联手打造“狙击手”

    张艺谋执导的第一部现代战争影片<狙击手>展现了抗美援朝后期"冷枪冷炮"运动中,我军神枪手群体的英勇事迹.影片中,狙击五班的战士们不惜战斗到只剩下一个人,也要将身负重大情 ...

  2. 利用好SOC与威胁情报 提高安全投入回报率

    本文讲的是利用好SOC与威胁情报 提高安全投入回报率,过去几年,公司网络安全问题引起广泛关注,相应的,分配到对抗恶意渗透者上的预算也呈指数级上涨.Gartner数据显示,2016年安全支出增长了7.9 ...

  3. 《大数据大创新:阿里巴巴云上数据中台之道》-读书笔记

    目录 0. 前言 1. 大数据的发展历程和价值探索 1.1 大数据发展的关键事件 1.2 大数据的内涵和外延 2.阿里的大数据主张 2.1 云上数据中台赋能业务运行图 2.2 阿里数据中台赋能业务全景 ...

  4. 腾讯安全与锐捷网络战略合作,威胁情报能力“被集成”

    2月28日,腾讯安全和锐捷网络在北京联合举办"威胁情报"战略合作发布会.双方发布了一款集成了腾讯安全威胁情报的新一代防火墙,并举办战略合作签约仪式. 会上,锐捷网络安全产品事业部总 ...

  5. Beosin威胁情报预警 | MyCrypto技术研究员在纸钱包网站WalletGenerator.net上发现严重漏洞...

    Beosin(成都链安)威胁情报预警:据Coindesk UTC时间5月27号17:00消息,MyCrypto研究员Harry Denley发现WalletGenerator.net上的私钥生成器存在 ...

  6. 日均 61 亿次攻击、挖矿病毒“卫冕”安全威胁之最,云上安全防御如何“战”?...

    编者按:随着大数据.云计算技术的发展,上云成为企业数字化转型的重要途径,与之同时,云上的安全问题也备受业界关注.那么,云上主要有哪些安全风险与挑战?企业又有哪些亟需注意的事项?日前,阿里云安全运营中心 ...

  7. 阿里云SLS——云上的辛勤山寨者

    2019独角兽企业重金招聘Python工程师标准>>> 阿里云 SLS 和 Amazon Kinesis 今天来到我的三篇日志系统分析文章的最后一篇,云上的日志分析系统.了解对象是云 ...

  8. 浅谈云上攻防 --SSRF 漏洞带来的新威胁

    前言 在<浅谈云上攻防--元数据服务带来的安全挑战>一文中,生动形象的为我们讲述了元数据服务所面临的一系列安全问题,而其中的问题之一就是通过SSRF去攻击元数据服务:文中列举了2019年美 ...

  9. 零信任策略下云上安全信息与事件管理实践

    简介:随着企业数字化转型的深入推进,网络安全越来越被企业所重视.为了构建完备的安全防御体系,企业通常会引入了防火墙(Firewall).防病毒系统(Anti-Virus System,AVS).入侵防 ...

最新文章

  1. [转]Passing data between pages in JQuery Mobile mobile.changePage
  2. hi3559 目标检测
  3. ReactNative环境配置的坑
  4. matlab div矩阵运算,【求助】多维矩阵求和运算!!
  5. [大數據、Big Data、巨量資料、海量資料]之分析模式工具
  6. Python DataFrame数据清洗后行索引不连续——reset_index
  7. html给span标签设置index,html – 绝对定位嵌套元素的z-index
  8. 内核中的内存申请:kmalloc、vmalloc、kzalloc、get_free_pages 之间的区别
  9. 数字图像处理 第四章 图像增强
  10. 分别在(ModelAtrs)Ascend、(Ubuntu16.04服务器+18.04镜像)GPU、(Ubuntu18.04)CPU下通过MindSpore实现(cifar10)图像分类
  11. 使用nodejs进行WEB开发
  12. cmd对应linux sleep命令,linux的sleep命令
  13. 微软 Edge 浏览器被指共享隐私遥测数据
  14. 自适应t分布与动态边界策略改进的算术优化算法
  15. VS 配置Directx
  16. 【可视化】使用PS将图片从白底换成其他底色时,如何保留头发边缘的发丝
  17. 使用esxcli命令升级VMware ESXi补丁
  18. 广东工业大学计算机学院张静,广东工业大学文件.doc
  19. 图形化生物软件专题(4):MEGAN
  20. [转]IDEA 出现编译错误 Multi-catches are not supported a this language level 解决方法

热门文章

  1. sql 删除最低分数_软件测试从业者:必备SQL语句21天打卡,前10天
  2. python中符号输入_Python基础(输入、运算符)
  3. android智能老人机系统,国产老人机也可以变智能!可运行Android
  4. python自然语言分析 何翠仪_如何用 Python 中的 NLTK 对中文进行分析和处理?
  5. linux kvm dhcp配置,《转》QEMU-KVM创建虚拟机自动指定IP的配置
  6. python登录并关注公众号_python微信公众号之关注公众号自动回复
  7. 内固定取出术后护理_股骨内固定钢板取出术后护理查房记录范文
  8. ssh linux 配置文件详解,Linux ssh服务常用配置的详细描述及建议配置
  9. 有没有什么方法快速能找到导致软件崩溃的进程_崩溃!电脑突然黑屏无法启动...
  10. android 屏幕飘动,Android自定义View实现飘动的叶子效果(三)