什么是威脅情報(bào)

根據(jù)Gartner對(duì)威脅情報(bào)的定義，威脅情報(bào)是某種基于證據(jù)的知識(shí)，包括上下文、機(jī)制、標(biāo)示、含義和能夠執(zhí)行的建議。威脅情報(bào)描述了現(xiàn)存的、或者是即將出現(xiàn)針對(duì)資產(chǎn)的威脅或危險(xiǎn)，并可以用于通知主體針對(duì)相關(guān)威脅或危險(xiǎn)采取某種響應(yīng)。業(yè)內(nèi)大多數(shù)所說(shuō)的威脅情報(bào)可以認(rèn)為是狹義的威脅情報(bào)，其主要內(nèi)容為用于識(shí)別和檢測(cè)威脅的失陷標(biāo)識(shí)，如文件HASH，IP，域名，程序運(yùn)行路徑，注冊(cè)表項(xiàng)等，以及相關(guān)的歸屬標(biāo)簽。

阿里云威脅情報(bào)

威脅情報(bào)服務(wù)是阿里云提供的情報(bào)安全服務(wù)，結(jié)合威脅情報(bào)數(shù)據(jù)，通過(guò)對(duì)威脅來(lái)源進(jìn)行實(shí)時(shí)自動(dòng)化采集、分析、分類與關(guān)聯(lián)，評(píng)估企業(yè)資產(chǎn)中存在的威脅并為改善安全狀況提供建議。

威脅情報(bào)展示了近30天全球所有網(wǎng)上用戶和客戶企業(yè)已遭受的威脅統(tǒng)計(jì)數(shù)據(jù)，目前支持針對(duì)IP、域名、文件提供威脅情報(bào)。

SLS與威脅情報(bào)集成

日志審計(jì)簡(jiǎn)介

威脅情報(bào)集成

SLS日志審計(jì)服務(wù)與威脅情報(bào)服務(wù)深度集成，利用威脅情報(bào)服務(wù)提供的全球威脅情報(bào)評(píng)估能力，支持對(duì)接入SLS的多種云產(chǎn)品日志（Actiontrial、SLB、OSS、SAS等）進(jìn)行威脅情報(bào)檢測(cè)，有效識(shí)別云產(chǎn)品使用過(guò)程中存在的潛在威脅。也支持以告警方式將檢測(cè)到的異常及時(shí)通知給相關(guān)的安全人員，從而提升威脅檢查效率和響應(yīng)速度。

對(duì)于RDS、Actiontrail、SAS等僅支持中心化的產(chǎn)品，開(kāi)啟威脅情報(bào)后，將在日志審計(jì)中心project下創(chuàng)建出中轉(zhuǎn)logstore(transit_log)及威脅情報(bào)富化的數(shù)據(jù)加工任務(wù)，會(huì)產(chǎn)生產(chǎn)生額外的費(fèi)用。
對(duì)于SLB、OSS等支持區(qū)域化的產(chǎn)品，必須開(kāi)啟中心化存儲(chǔ)，才能支持威脅情報(bào)。

最佳實(shí)踐

開(kāi)啟日志采集及威脅情報(bào)功能

日志審計(jì)提供了多種云產(chǎn)品的一鍵采集功能，同時(shí)針對(duì)于一些涉及外網(wǎng)訪問(wèn)的產(chǎn)品日志提供了威脅情報(bào)掃描功能。用戶只需要根據(jù)需求，在日志審計(jì)控制臺(tái)首頁(yè)一鍵開(kāi)啟即可。

開(kāi)啟威脅情報(bào)告警

告警規(guī)則-> 渠道：日志審計(jì)服務(wù) -> 類型：威脅情報(bào)，即可查看云產(chǎn)品日志告警規(guī)則。

點(diǎn)擊對(duì)應(yīng)告警項(xiàng)的開(kāi)啟關(guān)閉按鈕即可控制告警開(kāi)關(guān)。

參數(shù)設(shè)置

觸發(fā)告警的威脅級(jí)別：當(dāng)檢測(cè)出的威脅級(jí)別達(dá)到或超過(guò)該值時(shí)，觸發(fā)告警
日志條數(shù)閾值：20分鐘內(nèi)，同一個(gè)IP滿足威脅級(jí)別條件的日志條數(shù)達(dá)到或超過(guò)該值時(shí)，觸發(fā)告警

配置通知渠道配置：通過(guò)內(nèi)置“SLS審計(jì)內(nèi)置行動(dòng)策略”，配置通知渠道。

觸發(fā)告警及查看：當(dāng)威脅發(fā)生時(shí)，SLS會(huì)將檢測(cè)到當(dāng)威脅情報(bào)通知給用戶。

威脅分析

查看告警詳情。上述告警，發(fā)現(xiàn)了SLB出現(xiàn)了威脅IP訪問(wèn)。點(diǎn)擊詳情會(huì)跳轉(zhuǎn)到對(duì)應(yīng)云產(chǎn)品的查詢分析控制臺(tái)。

不同云產(chǎn)品威脅情報(bào)字段。
威脅情報(bào)字段詳情。

威脅情報(bào)控制臺(tái)進(jìn)一步分析
控制臺(tái)地址，搜索對(duì)應(yīng)的威脅詳情。

可以發(fā)現(xiàn)，該ip存在暴力破解、WEB攻擊的行為，且高危險(xiǎn)等級(jí)。并結(jié)合自身業(yè)務(wù)做出該IP是否異常的判斷。

威脅情報(bào)響應(yīng)

威脅：

若斷定為威脅情報(bào)，需要針對(duì)具體的云產(chǎn)品設(shè)置訪問(wèn)控制，拒絕異常訪問(wèn)。例如，可以給SLB配置訪問(wèn)控制，將威脅IP置為黑名單過(guò)濾。

誤報(bào)：
告警提供了白名單機(jī)制，可以屏蔽誤報(bào)IP。