什麼是威脅情報
根據Gartner對威脅情報的定義,威脅情報是某種基於證據的知識,包括上下文、機制、標示、含義和能夠執行的建議。威脅情報描述了現存的、或者是即將出現針對資產的威脅或危險,並可以用於通知主體針對相關威脅或危險採取某種響應。業內大多數所說的威脅情報可以認為是狹義的威脅情報,其主要內容為用於識別和檢測威脅的失陷標識,如文件HASH,IP,域名,程序運行路徑,註冊表項等,以及相關的歸屬標籤。
阿里雲威脅情報
威脅情報服務是阿里雲提供的情報安全服務,結合威脅情報數據,通過對威脅來源進行實時自動化採集、分析、分類與關聯,評估企業資產中存在的威脅併為改善安全狀況提供建議。
威脅情報展示了近30天全球所有網上用戶和客戶企業已遭受的威脅統計數據,目前支持針對IP、域名、文件提供威脅情報。
SLS與威脅情報集成
日誌審計簡介
威脅情報集成
SLS日誌審計服務與威脅情報服務深度集成,利用威脅情報服務提供的全球威脅情報評估能力,支持對接入SLS的多種雲產品日誌(Actiontrial、SLB、OSS、SAS等)進行威脅情報檢測,有效識別雲產品使用過程中存在的潛在威脅。也支持以告警方式將檢測到的異常及時通知給相關的安全人員,從而提升威脅檢查效率和響應速度。
- 對於RDS、Actiontrail、SAS等僅支持中心化的產品,開啟威脅情報後,將在日誌審計中心project下創建出中轉logstore(transit_log)及威脅情報富化的數據加工任務,會產生產生額外的費用。
- 對於SLB、OSS等支持區域化的產品,必須開啟中心化存儲,才能支持威脅情報。
最佳實踐
開啟日誌採集及威脅情報功能
日誌審計提供了多種雲產品的一鍵採集功能,同時針對於一些涉及外網訪問的產品日誌提供了威脅情報掃描功能。用戶只需要根據需求,在日誌審計控制檯首頁一鍵開啟即可。
開啟威脅情報告警
- 告警規則-> 渠道:日誌審計服務 -> 類型:威脅情報,即可查看雲產品日誌告警規則。
- 點擊對應告警項的開啟關閉按鈕即可控制告警開關。
- 參數設置
-
- 觸發告警的威脅級別:當檢測出的威脅級別達到或超過該值時,觸發告警
- 日誌條數閾值:20分鐘內,同一個IP滿足威脅級別條件的日誌條數達到或超過該值時,觸發告警
- 配置通知渠道配置:通過內置“SLS審計內置行動策略”,配置通知渠道。
- 觸發告警及查看:當威脅發生時,SLS會將檢測到當威脅情報通知給用戶。
威脅分析
- 查看告警詳情。上述告警,發現了SLB出現了威脅IP訪問。點擊詳情會跳轉到對應雲產品的查詢分析控制檯。
- 威脅情報控制檯進一步分析
-
- 控制檯地址,搜索對應的威脅詳情。
可以發現,該ip存在暴力破解、WEB攻擊的行為,且高危險等級。並結合自身業務做出該IP是否異常的判斷。
威脅情報響應
- 威脅:
若斷定為威脅情報,需要針對具體的雲產品設置訪問控制,拒絕異常訪問。例如,可以給SLB配置訪問控制,將威脅IP置為黑名單過濾。
- 誤報:
告警提供了白名單機制,可以屏蔽誤報IP。
