云上安全保护伞 - SLS 威胁情报集成实战

开发
业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。

什么是威胁情报

根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。

阿里云威胁情报

威胁情报服务是阿里云提供的情报安全服务,结合威胁情报数据,通过对威胁来源进行实时自动化采集、分析、分类与关联,评估企业资产中存在的威胁并为改善安全状况提供建议。

威胁情报展示了近30天全球所有网上用户和客户企业已遭受的威胁统计数据,目前支持针对IP、域名、文件提供威胁情报。

SLS与威胁情报集成

日志审计简介

威胁情报集成

SLS日志审计服务与威胁情报服务深度集成,利用威胁情报服务提供的全球威胁情报评估能力,支持对接入SLS的多种云产品日志(Actiontrial、SLB、OSS、SAS等)进行威胁情报检测,有效识别云产品使用过程中存在的潜在威胁。也支持以告警方式将检测到的异常及时通知给相关的安全人员,从而提升威胁检查效率和响应速度。

对于RDS、Actiontrail、SAS等仅支持中心化的产品,开启威胁情报后,将在日志审计中心project下创建出中转logstore(transit_log)及威胁情报富化的数据加工任务,会产生产生额外的费用。
对于SLB、OSS等支持区域化的产品,必须开启中心化存储,才能支持威胁情报。

最佳实践

开启日志采集及威胁情报功能

日志审计提供了多种云产品的一键采集功能,同时针对于一些涉及外网访问的产品日志提供了威胁情报扫描功能。用户只需要根据需求,在日志审计控制台首页一键开启即可。

开启威胁情报告警

告警规则-> 渠道:日志审计服务 -> 类型:威胁情报,即可查看云产品日志告警规则。

点击对应告警项的开启关闭按钮即可控制告警开关。

参数设置

触发告警的威胁级别:当检测出的威胁级别达到或超过该值时,触发告警
日志条数阈值:20分钟内,同一个IP满足威胁级别条件的日志条数达到或超过该值时,触发告警

配置通知渠道配置:通过内置“SLS审计内置行动策略”,配置通知渠道。

触发告警及查看:当威胁发生时,SLS会将检测到当威胁情报通知给用户。

威胁分析

查看告警详情。上述告警,发现了SLB出现了威胁IP访问。点击详情会跳转到对应云产品的查询分析控制台。

不同云产品威胁情报字段。
威胁情报字段详情。

威胁情报控制台进一步分析
控制台地址,搜索对应的威胁详情。

可以发现,该ip存在暴力破解、WEB攻击的行为,且高危险等级。并结合自身业务做出该IP是否异常的判断。

威胁情报响应

威胁:

若断定为威胁情报,需要针对具体的云产品设置访问控制,拒绝异常访问。例如,可以给SLB配置访问控制,将威胁IP置为黑名单过滤。

误报:
告警提供了白名单机制,可以屏蔽误报IP。

 

责任编辑:梁菲 来源: 阿里云云栖号
相关推荐

2012-06-26 11:36:46

云计算案例

2013-01-11 15:42:44

2010-12-24 19:16:04

云计算食品安全

2012-07-04 18:12:22

软件测评

2015-06-01 11:37:47

2010-11-11 11:49:49

2009-10-21 21:05:07

网络安全管理BTIM 北塔软件

2020-12-29 15:57:09

戴尔

2011-01-25 19:29:45

2011-08-16 09:25:36

2016-01-22 12:02:09

2010-08-17 14:59:43

2010-05-25 17:31:57

2011-12-05 14:05:11

CA虚拟化

2011-12-06 09:52:40

CA虚拟环境

2016-01-26 10:51:50

2015-11-24 09:31:15

2020-06-19 10:21:36

互联网数据技术
点赞
收藏

51CTO技术栈公众号