多个网站 支付宝接口,wordpress快速建站视频教程,泉州做网站排名,o2o电子商务平台简介#xff1a; 威胁情报是某种基于证据的知识#xff0c;包括上下文、机制、标示、含义和能够执行的建议。
什么是威胁情报
根据Gartner对威胁情报的定义#xff0c;威胁情报是某种基于证据的知识#xff0c;包括上下文、机制、标示、含义和能够执行的建议。威胁情报描…简介 威胁情报是某种基于证据的知识包括上下文、机制、标示、含义和能够执行的建议。
什么是威胁情报
根据Gartner对威胁情报的定义威胁情报是某种基于证据的知识包括上下文、机制、标示、含义和能够执行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险并可以用于通知主体针对相关威胁或危险采取某种响应。业内大多数所说的威胁情报可以认为是狭义的威胁情报其主要内容为用于识别和检测威胁的失陷标识如文件HASHIP域名程序运行路径注册表项等以及相关的归属标签。
阿里云威胁情报
威胁情报服务是阿里云提供的情报安全服务结合威胁情报数据通过对威胁来源进行实时自动化采集、分析、分类与关联评估企业资产中存在的威胁并为改善安全状况提供建议。
威胁情报展示了近30天全球所有网上用户和客户企业已遭受的威胁统计数据目前支持针对IP、域名、文件提供威胁情报。 SLS与威胁情报集成
日志审计简介
威胁情报集成
SLS日志审计服务与威胁情报服务深度集成利用威胁情报服务提供的全球威胁情报评估能力支持对接入SLS的多种云产品日志Actiontrial、SLB、OSS、SAS等进行威胁情报检测有效识别云产品使用过程中存在的潜在威胁。也支持以告警方式将检测到的异常及时通知给相关的安全人员从而提升威胁检查效率和响应速度。 对于RDS、Actiontrail、SAS等仅支持中心化的产品开启威胁情报后将在日志审计中心project下创建出中转logstore(transit_log)及威胁情报富化的数据加工任务会产生产生额外的费用。对于SLB、OSS等支持区域化的产品必须开启中心化存储才能支持威胁情报。
最佳实践
开启日志采集及威胁情报功能
日志审计提供了多种云产品的一键采集功能同时针对于一些涉及外网访问的产品日志提供了威胁情报扫描功能。用户只需要根据需求在日志审计控制台首页一键开启即可。 开启威胁情报告警
告警规则- 渠道日志审计服务 - 类型威胁情报即可查看云产品日志告警规则。点击对应告警项的开启关闭按钮即可控制告警开关。参数设置触发告警的威胁级别当检测出的威胁级别达到或超过该值时触发告警日志条数阈值20分钟内同一个IP满足威胁级别条件的日志条数达到或超过该值时触发告警配置通知渠道配置通过内置“SLS审计内置行动策略”配置通知渠道。触发告警及查看当威胁发生时SLS会将检测到当威胁情报通知给用户。威胁分析
查看告警详情。上述告警发现了SLB出现了威胁IP访问。点击详情会跳转到对应云产品的查询分析控制台。不同云产品威胁情报字段。威胁情报字段详情。威胁情报控制台进一步分析控制台地址搜索对应的威胁详情。可以发现该ip存在暴力破解、WEB攻击的行为且高危险等级。并结合自身业务做出该IP是否异常的判断。
威胁情报响应
威胁
若断定为威胁情报需要针对具体的云产品设置访问控制拒绝异常访问。例如可以给SLB配置访问控制将威胁IP置为黑名单过滤。
误报
告警提供了白名单机制可以屏蔽误报IP。 原文链接
本文为阿里云原创内容未经允许不得转载。
