1.云安全中心简介云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统。、合规检查等安全能力,实现威胁检测、响应、溯源的闭环自动化安全运营,保护云端和本地服务器资产。检索各种网络和主机日志,调查访问,多维度收集分析原始日志信息。监控AK泄漏、网络入侵事件、DDoS攻击事件、ECS恶意Bot等,实时监控ECS开放端口。回溯ECS发生的入侵事件(如Webshel??l、恶意软件、核心数据加密勒索病毒等),找出入侵原因和整个过程。多云资产接入功能。1、云安全中心能为我们提供哪些安全保障?(1)安全防范漏洞扫描修复:主流系统和软件漏洞扫描,支持一键漏洞修复。云平台配置检查:基于云平台安全实践,链接云产品能力,形成安全闭环。基线检查:基于阿里云最优配置检查表,降低配置不当带来的风险。(2)主动防御勒索病毒:实时拦截已知的勒索病毒、挖矿、蠕虫、DDoS等七类病毒。防篡改:防止网站被植入恐怖主义和政治、暗链、后门等,保证网页正常运行。应用白名单:防止未经授权的应用程序异常启动,影响服务的正常运行。(3)威胁检测250+威胁检测模型:为您提供全链路威胁检测能力,让黑客无处遁形。告警自动分析关联:自动关联告警,识别低危异常引起的入侵,提高运营效率。安全态势:安全大屏多维度展示网络安全态势,知己知彼,知威胁。(4)Investigation&Response自动化攻击溯源:自动追溯攻击来源和原因,帮助用户了解入侵威胁并快速响应。日志分析审计:提供日志审计分析能力,提供攻击溯源和合规平台。(5)容器安全镜像漏洞扫描:支持容器镜像深度漏洞扫描,并提供漏洞修复方案。容器威胁检测:容器运行时和容器K8S威胁检测。容器防火墙:一种集成的网络防火墙服务,为容器环境提供访问控制策略的智能学习、告警和拦截。为什么要进行云安全扫描。2、云安全中心适合哪些应用场景?安全合规场景、混合云主机安全场景、容器安全场景。3、为什么选择云安全中心?云安全中心可以对所有资产进行统一管控,实时监控云服务的整体安全。数千台服务器中的漏洞、威胁和攻击,一目了然;此外,它还为检测到的漏洞和风险配置项提供监控和修复服务。个人、小流量、不重要的用户:选择基础版功能(无需付费)。针对流量大的企业级用户:选择高级版、企业版等强大防??护功能抵御攻击。2、漏洞扫描云安全中心支持上万个漏洞扫描修复。漏洞扫描分为周期性自动漏洞扫描和手动漏洞扫描。1、手动扫描导出手动扫描获取最新漏洞信息:2、自动扫描在漏洞管理设置中设置自动扫描的周期:3、API调用前提:子账号授权云安全中心生成AKSK信息。(1)扫描获取特定紧急漏洞名称信息https://help.aliyun.com/document_detail/421691.html例:扫描SpringFrameworkJDK>=9RemoteCodeExecutionVulnerabilities。参数配置:*JSOSLang:zhRiskStatus:yScanType:pythonVulName:SpringFrameworkJDK>=9远程代码执行漏洞*查看结果:Apache{"TotalCount":1,"RequestId":"xxx","PageSize":5,"CurrentPage":1,"GroupedVulItems":[{"Status":30,"PendingCount":1,"Type":"python","Description":"2022年3月31日,Spring官方发布安全公告,披露CVE-2022-22965SpringFramework远程代码执行漏洞,由于SpringFramework的处理流程存在缺陷,攻击者可以在远程条件下在目标主机上编写后门文件和修改配置,进而通过后门获得对目标主机的访问权限文件访问,如使用Spring框架或派生框架构建的网站,使用JDK9及以上版本的应用,易受该漏洞攻击。","CheckType":1,"AliasName":"SpringFrameworkJDK>=9远程代码执行漏洞","GmtLastCheck":1654479941000,"GmtPublish":1648688400000,"Name":"emg:SCA:AVD-2022-1124599"}]}(2)查询所有服务器组信息https://help.aliyun.com/document_detail/421720.html示例:参数配置:JSONLang:z查看结果:Apache{"RequestId":"xxx","Groups":[{"GroupName":"Ungrouped","GroupFlag":0,"GroupId":123},],"Count":1}(3)导出漏洞列表&查看漏洞导出任务进度https://help.aliyun.com/document_detail/421868.html#api-detail-0https://help.aliyun.com/document_detail/421867.htmlExportVul接口用于导出漏洞列表,配合使用DescribeVulExportInfo接口,使用ExportVul接口创建漏洞导出任务后,可以调用DescribeVulExportInfo接口输入漏洞导出任务的ID,查看进度漏洞导出任务。示例:导出groupID为123的资产组未修复的软件漏洞:参数配置:JSONLang:zhType:appDealed:nGroupId:123查看结果:Apache{"RequestId":"xxx","FileName":"app_20220622","id":321}参数配置:JSONExportId:321查看结果:Apache{"Progress":100,"TotalCount":64,"RequestId":"xxx","Message":"success","FileName":"app_20220622","ExportStatus":"success","CurrentCount":64,"Id":321,"Link":"https://vul-export.oss-cn-shanghai.aliyuncs.com/export/xxx}4、钉钉报警群可在云安全中心-设置-通知中添加钉钉报警机器人,并根据资产分组或通知范围设置报警;添加钉钉群自定义机器人后生成webhook地址。5.漏洞分类可按漏洞类型分别是系统漏洞和软件漏洞,每个环境又分为日常漏洞和紧急漏洞漏洞。3、漏洞修复云安全中心支持检测主流漏洞类型,提供一键修复功能:一键修复Linux软件漏洞后,Linux系统YUM源码包管理系统会自动下载、安装和清理漏洞补丁安装包(漏洞修复完成3天后自动清理),无需人工操作。一键修复Windows系统漏洞后,云安全中心Agent会自动下载安装并清理漏洞补丁安装包,无需手动操作。漏洞修复完成后超过3天,如安装包未及时清理,可手动清理漏洞补丁包。在开始漏洞修复之前,一般会列出一份修复时间表,如图:1.系统bug(1)预约修复时间a.任命要素钉组:供应商组艾特:供应商负责人原因:说明原因项目:做什么时间:什么时候做分工:我们做什么,供应商需要什么合作什么b.参考模板(根据实际情况更改)测试环境:@xx,你好,我们近期会开始修复非生产环境的系统漏洞。方便询问什么时候可以协助升级。修复内容:1.xxx主机xxx漏洞2.xxx主机xxx漏洞3.xxx主机xxx漏洞我们的操作项目1.修复漏洞2.确认服务器是否重启成功3.确认漏洞是否修复成功并需要您的配合操作项1.启动服务(我们会帮助配置启动后自启动)2.检查功能是否正常。测试环境修复完成后,预约生产修复,升级生产环境:@xx,您好,我们最近已经去除了非生产环境的系统漏洞,修复完成后,就可以开始修复了生产环境的漏洞。方便询问什么时候可以协助升级。修复内容:1.xxx主机xxx漏洞2.xxx主机xxx漏洞3.xxx主机xxx漏洞我们的操作项目1.修复漏洞2.确认服务器是否重启成功3.确认漏洞是否修复成功并需要您的配合操作项1.启动服务2.检查程序功能是否正常(2)开始修复使用阿里云安全中心一键扫描功能:(3)验证漏洞(4)通知验证功能的供应商2.软件漏洞软件漏洞由供应商提供与系统漏洞一样,在测试环境修复和各种功能验证后,生产环境漏洞也会被修复。参考模板:你好,xx,我们最近完成了系统漏洞修复,表中包含了软件漏洞的具体信息,请安排好修复时间,测试环境近期可以修复,修复完成后和验证完成,将进行生产修复,过程中有任何进展请与我保持联系。
