“用云的方式保护云”： 如何利用云原生SOC进行云端检测与响应

安全运维人员可以根据详情页中的处置建议进行一些排查和处置。例如通过ACL策略封禁源IP，阻断其进一步的攻击。同时可以在安全事件页中查看该资产是否存在该漏洞，以及webshell木马是否已经落地。及时有效的安全排查，可以很大程度上降低安全事件的危害。

网络安全事件同时提供了攻击者画像与受害者画像。基于历史的数据，对攻击者近期发起的网络威胁进行汇总，关联是否还有其他的攻击手段，帮助客户更全方位的了解攻击者。下图展示的就是攻击者画像。

下图则是受害者画像，流量威胁TOP5，展示的是受害资产近期遭受的攻击类型次数排名，可以帮助客户更有针对性的对资产进行合理的处置。流量威胁趋势，可以更直观的了解到资产近期的安全现状。

● 泄漏检测

数据泄露指受保护或机密数据可能被未经授权的人查看、偷窃或使用。由于企业业务性质、开发制度等原因，互联网公司一般会涉及较多的版本变更，且大部分互联网企业内部崇尚开源文化，开放的同时，也为数据泄露事件埋下隐患。近几年从泄漏渠道上来看主要有以下几个分类：GitHub代码类，网站入侵类，网络黑市交易类，合作商接口调用类等。

安全运营中心在GitHub和网络黑市这两个渠道进行了数据泄露的监控。通过安全运营中心的统一监控和处理，可以解放企业运维安全人员更多的时间，将更多精力集中在规则运营上。同时也能与云平台能够更好的整合开发、运维，将事件处理集中在一处，提高处理效率。在误报规则的运营处理方面，SaaS 化的平台比开源系统运营更持久，基于云上用户的体验集中优化，目前由云鼎实验室团队进行后台策略维护支持，误报问题相对较少，告警的质量相对较高。

上图就是泄漏检测的页面。安全运维人员进行配置后，即可监控自己所关注的敏感信息是否在上面两个源中有泄漏。当腾讯云的SecretId由于各种原因，出现在GitHub上时，安全运维人员可以及时的发现，尽快进行处置，避免发生更大的安全事故。

事后响应处置

安全事件发生后，云安全运营中心借助调查中心和响应中心分别提供了溯源调查以及自动化响应的能力。下面分别介绍一下这两个部分。

● 调查中心

调查中心目前接入了七类日志，有资产日志、指纹信息、漏洞详情、安全事件、用户行为分析、云审计以及负载均衡。日志调查中心提供的查询语法类似于kibana的查询语法，可以根据自己的需求组合出多种搜索语句。在后面的篇幅中，结合安全溯源，也会有所介绍。

- 资产类型

展示的是客户部署在腾讯云上的各类资产的详细信息。图中能看到有CVM、COS存储、负载均衡、数据库等资产类型。

在日志调查搜索框中，可以通过多个条件组的组合，完成一些资产数据的统计。例如统计CVM上遭受攻击次数大于100小于1000的机器。

- 资产指纹

包含了进程、端口、组件、账户等信息。下表列出比较关键的字段信息，更多的字段可以在日志调查中查看。

- 漏洞信息

列举机器上的漏洞名称、漏洞描述、漏洞等级、漏洞类型、CVE号、修复方案、参考链接、处理状态、影响的机器数等。这些信息也可以在资产中心->漏洞管理中进行查看。

- 事件信息

事件包含了WAF、DDoS，云镜等产品发现的安全事件，比较重要的有密码破解，异地登录，WEB攻击，以及木马。这些信息也可以在安全事件页中进行查看。

- 用户行为分析

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!