什么是威胁情报?根据Gartner对威胁情报的定义,威胁情报是基于证据的知识,包括上下文、机制、指示、含义和可执行的建议。威胁情报描述了对资产的现有或迫在眉睫的威胁或危险,可用于通知主体对相关威胁或危险采取某种反应。业内提到的威胁情报,大部分都可以看作是狭义的威胁情报。其主要内容是用于识别和检测威胁的危害标识,如文件HASH、IP、域名、程序运行路径、注册表项等,以及相关的归属标签。阿里云威胁情报威胁情报服务是阿里云提供的情报安全服务。结合威胁情报数据,通过对威胁源的实时自动采集、分析、分类和关联,评估企业资产中存在的威胁,提供改善安全态势的建议。.威胁情报显示全球所有在线用户和客户企业近30天遭受的威胁统计,目前支持IP、域名、文件威胁情报提供。SLS与威胁情报集成日志审计威胁情报集成简介SLS日志审计服务与威胁情报服务深度集成,利用威胁情报服务提供的全局威胁情报评估能力,支持接入SLS的各类云产品的日志(Actiontrial、SLB、OSS、SAS等)进行威胁情报检测,有效识别云产品使用中的潜在威胁。还支持将检测到的异常情况以告警的形式及时通知相关安全人员,从而提高威胁排查效率和响应速度。对于RDS、Actiontrail、SAS等只支持中心化的产品,开启威胁情报后,会在日志审计中心项目下创建一个中转日志库(transit_log)和威胁情报浓缩数据处理任务,会产生额外的费用。对于支持区域化的产品,如SLB、OSS,必须开启集中存储来支持威胁情报。最佳实践启用日志采集和威胁情报功能日志审计针对各类云产品提供一键采集功能,针对部分涉及外网访问的产品日志提供威胁情报扫描功能。用户只需根据需要在日志审计控制台首页一键开启即可。开启威胁报告预警预警规则->通道:日志审计服务->类型:威胁情报查看云产品日志预警规则。单击相应报警项的开/关按钮可控制报警开关。参数设置触发告警的威胁等级:当检测到的威胁等级达到或超过该值时,触发告警阈值:20分钟内,当同一IP满足威胁等级条件的日志条数达到或超过该值时value,Triggeralarmconfiguration通知通道配置:通过内置的“SLS审计内置动作策略”配置通知通道。触发告警和查看:当威胁发生时,SLS会将检测到的威胁信息通知给用户。威胁分析查看告警详情。在上述告警中,发现有威胁IP访问SLB。点击详情会跳转到对应云产品的查询分析控制台。不同云产品的威胁情报领域。威胁情报字段详细信息。威胁情报控制台进一步分析控制台地址,查找对应的威胁详情。可以发现该IP存在暴力破解和WEB攻击行为,风险等级较高。并结合自身业务判断IP是否异常。威胁情报响应威胁:如果确定是威胁情报,需要针对特定??的云产品设置访问控制,拒绝异常访问。例如,可以为SLB配置访问控制,可以将威胁IP加入黑名单进行过滤。误报:告警提供白名单机制,可以屏蔽误报IP。
