云上安全保护伞--SLS威胁情报集成实战

什么是威胁情报

根据Gartner对威胁情报的定义 威胁情报是某种基于证据的知识 包括上下文、机制、标示、含义和能够执行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险 并可以用于通知主体针对相关威胁或危险采取某种响应。业内大多数所说的威胁情报可以认为是狭义的威胁情报 其主要内容为用于识别和检测威胁的失陷标识 如文件HASH IP 域名 程序运行路径 注册表项等 以及相关的归属标签。

阿里云威胁情报

威胁情报服务是阿里云提供的情报安全服务 结合威胁情报数据 通过对威胁来源进行实时自动化采集、分析、分类与关联 评估企业资产中存在的威胁并为改善安全状况提供建议。

威胁情报展示了近30天全球所有网上用户和客户企业已遭受的威胁统计数据 目前支持针对IP、域名、文件提供威胁情报。

SLS与威胁情报集成日志审计简介

威胁情报集成

SLS日志审计服务与威胁情报服务深度集成 利用威胁情报服务提供的全球威胁情报评估能力 支持对接入SLS的多种云产品日志 Actiontrial、SLB、OSS、SAS等 进行威胁情报检测 有效识别云产品使用过程中存在的潜在威胁。也支持以告警方式将检测到的异常及时通知给相关的安全人员 从而提升威胁检查效率和响应速度。

对于RDS、Actiontrail、SAS等仅支持中心化的产品 开启威胁情报后 将在日志审计中心project下创建出中转logstore(transit_log)及威胁情报富化的数据加工任务 会产生产生额外的费用。
对于SLB、OSS等支持区域化的产品 必须开启中心化存储 才能支持威胁情报。
最佳实践开启日志采集及威胁情报功能

日志审计提供了多种云产品的一键采集功能 同时针对于一些涉及外网访问的产品日志提供了威胁情报扫描功能。用户只需要根据需求 在日志审计控制台首页一键开启即可。

开启威胁情报告警告警规则- ?渠道 日志审计服务?- ?类型 威胁情报 即可查看云产品日志告警规则。

点击对应告警项的开启关闭按钮即可控制告警开关。

参数设置触发告警的威胁级别 当检测出的威胁级别达到或超过该值时 触发告警
日志条数阈值 20分钟内 同一个IP满足威胁级别条件的日志条数达到或超过该值时 触发告警

配置通知渠道配置 通过内置“SLS审计内置行动策略” 配置通知渠道。

触发告警及查看 当威胁发生时 SLS会将检测到当威胁情报通知给用户。

威胁分析查看告警详情。上述告警 发现了SLB出现了威胁IP访问。点击详情会跳转到对应云产品的查询分析控制台。不同云产品威胁情报字段。
威胁情报字段详情。

威胁情报控制台进一步分析控制台地址 搜索对应的威胁详情。

可以发现 该ip存在暴力破解、WEB攻击的行为 且高危险等级。并结合自身业务做出该IP是否异常的判断。

威胁情报响应威胁

若断定为威胁情报 需要针对具体的云产品设置访问控制 拒绝异常访问。例如 可以给SLB配置访问控制 将威胁IP置为黑名单过滤。

误报

告警提供了白名单机制 可以屏蔽误报IP。

本文转自网络，原文链接：https://developer.aliyun.com/article/784280
本站部分内容转载于网络，版权归原作者所有，转载之目的在于传播更多优秀技术内容，如有侵权请联系QQ/微信：153890879删除，谢谢！