01-基础设施安全-4-云安全中心-ACA-02-产品接入与配置(下)

本文涉及的产品
应用实时监控服务-用户体验监控,每月100OCU免费额度
云原生网关 MSE Higress,422元/月
函数计算FC,每月15万CU 3个月
简介: 01-基础设施安全-4-云安全中心-ACA-02-产品接入与配置(下)

开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程01-基础设施安全-4-云安全中心-ACA-02-产品接入与配置(下)

课程地址:https://edu.aliyun.com/course/3111981/lesson/18861


01-基础设施安全-4-云安全中心-ACA-02-产品接入与配置(下)


内容介绍

一、拦截监控

二、告警通知

三、AccessKey泄露检测

四、资产响应


一、拦截监控

来看几个跟拦截监控相关联的功能,这些功能都在威胁检测的功能里面。

图片40.png首先是主动拦截拦截拦截页面里面,先展示的是安全告警处理的页面。用于来实时检测统计展示全中心当中的各类资产的安全告警事件,然后能够把云安全中心所检测到的像网页的篡改,远程的异常,网站的后门,暴力的破解,异常登录,恶意竞程等等的各种各样的安全告警,通过前面所讲的250多种的威胁检测模型去进行检测,从而把这些告警信息来去进行并且能够及时的进行处置


首先页面的上方是概览区,里面显示了存在告警的机器,也就是说当前,现在,有多少个机器,存在着一些告警,点击数值,是超链接,点进去以后,会跳转到资产中心的服务器列来展示当前各个受到告警攻击的,或者说存在告警的服务器的列表待处理的告警总数这个地方,显示的是现在的所有云安全中心里面的资产没有被处理报警的,数量是多少,在这个地方就可以看到,就是点进去以后就可以看到所有的被待处理的告警信息。


急需处理的报警也就是说因为的告警会分成三个不同的等级一般第一风险,就显示为提醒,如果是中风险就显示为可疑,高风险就显示为紧急把这里急需处理的告警,就是显示为的这些资产里面,就是高危风险。就是表示的服务器中已经检查到了一些类似像入侵的事件,像这样的告警,做一下显示精准防御是展示资产里面被病毒查杀功能,自动隔离,这里所说的病毒会自动隔离,通过隔离箱会把的这些检测到的这些病毒木马勒索软件会进行自动隔离,而自动隔离的,产生的告警数量,会进行显示生效的IP拦截策略以及全部策略。这里展示的是启用了这种防暴力破解的规则之后,所拦截的记录的总数。隔离的文件数是展示的是安全中心对于安全报警的事件进行隔离处理之后,隔离的文件的总数量是多少?


也就是在文件隔离箱里面的文件有多少


精准防御里面,所显示的自动隔离的告警数量,也会在下方具体的告警信息这里面去显示出来,这里举例子然后策略规则可以通过拦截策略的设置去进行设置,就可以到IP规则的策略库面板,去进行设置,检测到各种风险,各种告警,就要进行处置。云安全中心提供了非常强大的检测能力,有250家的威胁检测模型,同时有六个病毒的查杀引擎跟三个网站的后面检查,当安全告警处理的页面底下出现了精准防御,各个的显示的具体的告警的信息以后,选择到警以后,就会弹出对应的处置项,也可以对处置项去进行一些分类的筛选,选择类型是紧急可疑或者提醒,或者是说告警的类型是待处理的,是可以处理资产分组等等多个维度进行搜索这样可以让快速的去筛选定位目标告诉告警事件


在所检测出来的各种告警事件里面?可以通过对应的规则可以去设置自动处理的,也有一些是可以去进行一些手动的处理的,一般来讲,点击到定位到目标事件,点操作以后,就会显示出图的右下角显示出来的告警处置的页面,告警处置页面,就可以在上面去进行一些更进一步的一些操作,比如处理方式可以选择主断,对恶意进程进行阻断操作。还有加白名单,或者忽略,这里没有显示出来,可以通过这种地方去进行一些操作右侧这边也可以针对恶意的进程去进行一些进程进程病毒的查杀,或者去J选择说,直接来结束把线程的运行,或者把进程的的文件加入到文件隔离箱,因为已经判断出来了有害的,有病毒的文件,被加入到文件隔离在30天内是可以进行还原的,就是说还原恢复文件就会又会回到告警内,文件如果被隔离了就不会对的服务器来造成安全威胁


深度查杀是指对病毒文件进行深度操作。也是由云安全中心的专家团队,经过深度分析以后去做这种深度查杀,当然这种操作存在一些安全风险,必须要明确一下加白名单的意思,就是说有可能认为误报或者是说当前的告警不重要随时给加白,加白以后再次发生相同告警的时候,就不会在发生告警地就要谨慎来去进行操作

 

二、告警通知

图片41.png

再来看一下云安全中心的告警通知,云安全中心支持,通过像短信邮件站内信以及钉钉机器人这几种方式来向来发送告警可以在云安全中心的设置的通知设置这一项里面去进行调整,左边的页面显示的是可以针对不同的通知,像漏洞,极限检查,云平台的配置检查等等。不同的通知项去设置单独的告警通知方式,能够选择的告警通知方式就是前面所讲的短信邮件战略性机器人这四种,然后钉钉机器人的添加,也有单独的页面可以去进行添加这是可选的页面。而且是企业版以上的版本才能够支持像基础版,杀毒版跟高级版的用户是需要升到企业版旗舰版才能去使用钉钉旗舰版的使用方式


右图显示如何添加钉钉机器人,需要说明的是钉钉机器人如果要添加,首先是需要要有钉钉,并且创建了相关的钉钉群才能进行配置,在配置页面,要配置之前,要先到钉钉里面去对应的要通知个群里面去选择群设置里面会找到添加机器人的项,然后给机器人起个名字,设置相关的一些通知一些这种参数,然后最重要的是在钉钉机器人钉钉里面的钉钉机器人群设置里面找到个web户口的地址,也就是在云安全中心里面要设置外部客户的地址,需要到钉钉里面去找然后在添加钉钉计算的面板里面还要选择资产分组也就是说要给哪一些资产去发送钉钉机器人的通知然后通知的范围,像漏洞,畸形检查,或者是安全报警等等这些是可以多选的,然后这里面其实还有通知频率,就是说钉钉机器人发送通知的间隔周期是一分钟五分钟,十分钟,或者没有限制都是可以去选最后这像这栏这里引掉了,被挡挡住了这是通知语言可以转换像英语跟中午的选择是钉钉机器人怎么来设置。


三、AccessKey泄露检测

图片42.png

看一下-AccessKey泄露检测,所谓的AccessKey,就是常通常简称为AK,AK还有SK,就是所谓的s SK secret,这是在阿里云上去进行API访问的时候非常重要参数。尤其是像SK,是一定不能泄露的,否则云上的资产就会存在很严重的安全风险,实际在的生产环境里面,有可能的有一些企业的员工,开发者,如果安全意识不是太强,也会把的一些不可以公开的一些公司源码上传到开源平台里面去,就有可能会导致这种核心的信息被泄露了,但不仅仅是AKSK,可能还会包含像企业的数据库的连接地址,连接的登录的密码,服务器的密码等等这些敏感信息,直接贴在代码里面的导致泄露安全中心,跟这样的平台来去进行合作,就能够去检查用户在这些公开的源代码当中的这些用户名跟密码信息,然后去识别出的资产用户名的密码是不是存在泄露


如果存在泄漏情况,就及时的来提供相应的告警,帮助及时发现并处理可能外泄的这种AK的信息同样的AK泄露情报也是支持这种不同的状的通知方式的,像短信邮件钉钉机器人


四、资产响应

图片43.png

再来看两个跟调查响应有关的功能,第是资产指纹调查,资产指纹调查是指云服务器上面的一些认为的可以称之为指纹的六种信息


主要是六种包含做像资产的端口,或者是软件运行的,软件运行的进程,然后账户,还有像计划任务就是任务的路径从什么地方乱起来的?还有一些像中间键,就是比如像MYSQL这种可以独立运行的一些系统组件,这些都认为是一种服务器上的资产,资产指纹调查会定期采集并记录这些资产信息,来帮助来全面的了解这些资产的运营状态。


最主要的目的就是快速的定位排查问题,以便于做回数分析。云安全中心的控制台就提供了这些资产指纹调查的总览,跟各种指纹的详细的信息,来看一下资产责任调查的操作入口,是在云安全中心的控制台调查响应的类目里,进到入口,除了总览页面,总览页面主要是能够去查看一些像端口开放,软件资产进程。也可以分门别类的去查看,然后点击资产模块的详情,就可以查看这类型的对应的资产的详细信息。


这里面举个例子,像一些像任务路径的这些信息,是属于六类资产里面的计划任务这类资产,计划任务这类市场里面,点进去之后,看到的信息大概首先任务的路径,指的就是任务,是在什么地方去进行执行的,然后是哪一台服务器,就服务器计划任务所在的服务器的信息,是执行了哪个命令?


计划任务所需要执行的命令,执行的周期,采用的是库表达式去显示的周期ND5就计算了任务ND5的验证值。从哪个账号去出发的,最后任务还被扫描的时间是什么时候,就是现在是计划任务资产,点开计划任务资产,详细信息就是这样子的。其像端口资产,软件资产等等,打开显示的内容,也是比较类似的,也都是包含像服务器信息,然后最后的采集时间等等。


当然不同的资产端口资产,要去检查肯定对应的服务器信息之外就会显示对应的进程IP,可能就没有什么ND5,任务周期这些属性,所以稍稍有所区别,但整体的显示方式是比较接近的。

图片44.png

最后来看一下自动化攻击溯源,是云安全中心所提供的针对于调查响应的另很重要的功能,溯源的功能主要是结合各种云产品的日志,通过大数据的分析引擎对这些日志进行加工聚合,然后来形成攻击者的完整的链路,就可以在很短的时间内来去定义。


因为入侵的原因,帮助来去制定应急的决策,所以攻击溯源是适用于在云环境加各种攻击情况,攻击事件,外表入侵,蠕虫病毒,勒索病毒等等,像这样的这些web的一些安全风险,安全风险产生的场景之下去做应急响应跟溯源的工作,云安全中心会在检测到威胁以后的五到十分钟,自动来生成攻击溯源的链路,这样就能够去通过在页面上就可以非常方便的去查看整个攻击的链路,像页面攻击的电路是在威胁检测的安全告警处理页面,点击告警事件有溯源的图标,就能够跳到页面里面来,这页面里面就能够去查看像告警的攻击者的告警的名称,然后是什么告警的类型,影响的是哪些资源,甚至攻击者的原IP,还有详细的请求,都能显示出来,都能显示。


以上就是关于云安全中心产品主要讲解的全部内容.

相关文章
|
27天前
|
云安全 人工智能 自然语言处理
|
1月前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
1月前
|
存储 云安全 安全
带你读《阿里云安全白皮书》(二十一)——云上安全重要支柱(15)
阿里云安全白皮书(2024版)详细介绍了其在面对线上威胁时的快速响应与恢复能力。通过一体化的安全运营能力,阿里云帮助客户在极端威胁下快速感知、响应风险并恢复数据及服务。白皮书还涵盖了全面的资产梳理、及时的威胁情报分析、高效的风险识别与治理、专业的安全服务等内容,旨在为企业提供全方位的安全保障。
|
1月前
|
云安全 监控 安全
带你读《阿里云安全白皮书》(二十三)——云上安全建设最佳实践
淘宝作为全球最大规模、峰值性能要求最高的电商交易平台,基于阿里云成功通过了多年“双11”峰值考验。淘宝的安全体系涵盖了系统安全、网络安全、账号与凭据安全、云资源安全等多个方面,通过阿里云提供的多种安全产品和服务,确保了业务的稳定运行和数据的安全。淘宝的安全实践不仅为自身业务提供了坚实的保障,也为其他行业的云上安全建设提供了宝贵的经验和参考。
|
1月前
|
云安全 存储 安全
带你读《阿里云安全白皮书》(二十二)——云上安全重要支柱(16)
在全球化背景下,阿里云高度重视云平台的安全合规建设,确保客户在不同地区和行业能够满足监管要求。阿里云通过140多项安全合规认证,提供全面的专业安全合规服务和便捷高效的安全合规产品,帮助企业高效且低成本地实现安全合规目标。更多详情可参见阿里云官网“阿里云信任中心 - 阿里云合规”。
|
1月前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
1月前
|
云安全 安全 网络安全
带你读《阿里云安全白皮书》(十一)——云上安全重要支柱(5)
阿里云通过内部红蓝对抗体系,常态化模拟真实场景下的APT攻击,持续提升平台安全性。蓝军团队采用MITRE ATT&CK框架,系统模拟外部攻击,红军团队则进行持续防守。整个过程包括攻击规划、执行和复盘修复阶段,确保及时发现并修复安全漏洞,提升整体防御水平。
|
1月前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。
|
1月前
|
云安全 存储 运维
带你读《阿里云安全白皮书》(十七)——云上安全重要支柱(11)
阿里云提供了《阿里云安全白皮书(2024版)》,介绍客户数据安全保护技术能力。针对敏感行业,阿里云推出了专属区域和云盒两种形态,确保数据本地存储和合规要求,同时提供标准的公有云产品。此外,阿里云数据安全中心提供敏感数据识别、细粒度数据审计、数据脱敏/列加密、数据泄露检测与防护等四大功能,全面保障数据安全。
|
1月前
|
云安全 安全 测试技术
带你读《阿里云安全白皮书》(十三)——云上安全重要支柱(7)
阿里云通过全方位红蓝对抗反向校验,引入国内外优秀的第三方渗透测试服务,确保云平台及产品的安全性达到国际领先水平。同时,通过外部安全生态建设,与白帽社区合作,建立阿里安全响应中心(ASRC)和先知平台,提升整体安全水位。