雲上安全保護傘--SLS威脅情報集成實戰

簡介：威脅情報是某種基於證據的知識，包括上下文、機制、標示、含義和可以執行的建議。

什麼是威脅情報

根據Gartner對威脅情報的定義，威脅情報是某種基於證據的知識，包括上下文、機制、標示、含義和可以執行的建議。威脅情報描述了現存的、或者是即將出現針對資產的威脅或危險，並能夠用於通知主體針對相關威脅或危險採起某種響應。業內大多數所說的威脅情報能夠認爲是狹義的威脅情報，其主要內容爲用於識別和檢測威脅的失陷標識，如文件HASH，IP，域名，程序運行路徑，註冊表項等，以及相關的歸屬標籤。

阿里雲威脅情報

威脅情報服務是阿里雲提供的情報安全服務，結合威脅情報數據，經過對威脅來源進行實時自動化採集、分析、分類與關聯，評估企業資產中存在的威脅併爲改善安全情況提供建議。

威脅情報展現了近30天全球全部網上用戶和客戶企業已遭受的威脅統計數據，目前支持針對IP、域名、文件提供威脅情報。

SLS與威脅情報集成

日誌審計簡介

威脅情報集成

SLS日誌審計服務與威脅情報服務深度集成，利用威脅情報服務提供的全球威脅情報評估能力，支持對接入SLS的多種雲產品日誌（Actiontrial、SLB、OSS、SAS等）進行威脅情報檢測，有效識別雲產品使用過程當中存在的潛在威脅。也支持以告警方式將檢測到的異常及時通知給相關的安全人員，從而提高威脅檢查效率和響應速度。

• 對於RDS、Actiontrail、SAS等僅支持中心化的產品，開啓威脅情報後，將在日誌審計中心project下建立出中轉logstore(transit_log)及威脅情報富化的數據加工任務，會產生產生額外的費用。
• 對於SLB、OSS等支持區域化的產品，必須開啓中心化存儲，才能支持威脅情報。

最佳實踐

開啓日誌採集及威脅情報功能

日誌審計提供了多種雲產品的一鍵採集功能，同時針對於一些涉及外網訪問的產品日誌提供了威脅情報掃描功能。用戶只須要根據需求，在日誌審計控制檯首頁一鍵開啓便可。

開啓威脅情報告警

• 告警規則-> 渠道：日誌審計服務 -> 類型：威脅情報，便可查看雲產品日誌告警規則。

• 點擊對應告警項的開啓關閉按鈕便可控制告警開關。

• 參數設置
• 觸發告警的威脅級別：當檢測出的威脅級別達到或超過該值時，觸發告警

• 日誌條數閾值：20分鐘內，同一個IP知足威脅級別條件的日誌條數達到或超過該值時，觸發告警
• 配置通知渠道配置：經過內置「SLS審計內置行動策略」，配置通知渠道。

• 觸發告警及查看：當威脅發生時，SLS會將檢測到當威脅情報通知給用戶。

威脅分析

• 查看告警詳情。上述告警，發現了SLB出現了威脅IP訪問。點擊詳情會跳轉到對應雲產品的查詢分析控制檯。
• 不一樣雲產品威脅情報字段。
• 威脅情報字段詳情。

• 威脅情報控制檯進一步分析
• 控制檯地址，搜索對應的威脅詳情。

能夠發現，該ip存在暴力破解、WEB攻擊的行爲，且高危險等級。並結合自身業務作出該IP是否異常的判斷。

威脅情報響應

• 威脅：
若判定爲威脅情報，須要針對具體的雲產品設置訪問控制，拒絕異常訪問。例如，能夠給SLB配置訪問控制，將威脅IP置爲黑名單過濾。
• 誤報：
告警提供了白名單機制，能夠屏蔽誤報IP。

原文連接本文爲阿里雲原創內容，未經容許不得轉載。