什么是威脅情報

根據(jù)Gartner對威脅情報的定義，威脅情報是某種基于證據(jù)的知識，包括上下文、機制、標(biāo)示、含義和能夠執(zhí)行的建議。威脅情報描述了現(xiàn)存的、或者是即將出現(xiàn)針對資產(chǎn)的威脅或危險，并可以用于通知主體針對相關(guān)威脅或危險采取某種響應(yīng)。業(yè)內(nèi)大多數(shù)所說的威脅情報可以認為是狹義的威脅情報，其主要內(nèi)容為用于識別和檢測威脅的失陷標(biāo)識，如文件HASH，IP，域名，程序運行路徑，注冊表項等，以及相關(guān)的歸屬標(biāo)簽。

阿里云威脅情報

威脅情報服務(wù)是阿里云提供的情報安全服務(wù)，結(jié)合威脅情報數(shù)據(jù)，通過對威脅來源進行實時自動化采集、分析、分類與關(guān)聯(lián)，評估企業(yè)資產(chǎn)中存在的威脅并為改善安全狀況提供建議。

威脅情報展示了近30天全球所有網(wǎng)上用戶和客戶企業(yè)已遭受的威脅統(tǒng)計數(shù)據(jù)，目前支持針對IP、域名、文件提供威脅情報。

SLS與威脅情報集成

日志審計簡介

威脅情報集成

SLS日志審計服務(wù)與威脅情報服務(wù)深度集成，利用威脅情報服務(wù)提供的全球威脅情報評估能力，支持對接入SLS的多種云產(chǎn)品日志（Actiontrial、SLB、OSS、SAS等）進行威脅情報檢測，有效識別云產(chǎn)品使用過程中存在的潛在威脅。也支持以告警方式將檢測到的異常及時通知給相關(guān)的安全人員，從而提升威脅檢查效率和響應(yīng)速度。

對于RDS、Actiontrail、SAS等僅支持中心化的產(chǎn)品，開啟威脅情報后，將在日志審計中心project下創(chuàng)建出中轉(zhuǎn)logstore(transit_log)及威脅情報富化的數(shù)據(jù)加工任務(wù)，會產(chǎn)生產(chǎn)生額外的費用。
對于SLB、OSS等支持區(qū)域化的產(chǎn)品，必須開啟中心化存儲，才能支持威脅情報。

最佳實踐

開啟日志采集及威脅情報功能

日志審計提供了多種云產(chǎn)品的一鍵采集功能，同時針對于一些涉及外網(wǎng)訪問的產(chǎn)品日志提供了威脅情報掃描功能。用戶只需要根據(jù)需求，在日志審計控制臺首頁一鍵開啟即可。

開啟威脅情報告警

告警規(guī)則-> 渠道：日志審計服務(wù) -> 類型：威脅情報，即可查看云產(chǎn)品日志告警規(guī)則。

點擊對應(yīng)告警項的開啟關(guān)閉按鈕即可控制告警開關(guān)。

參數(shù)設(shè)置

觸發(fā)告警的威脅級別：當(dāng)檢測出的威脅級別達到或超過該值時，觸發(fā)告警
日志條數(shù)閾值：20分鐘內(nèi)，同一個IP滿足威脅級別條件的日志條數(shù)達到或超過該值時，觸發(fā)告警

配置通知渠道配置：通過內(nèi)置“SLS審計內(nèi)置行動策略”，配置通知渠道。

觸發(fā)告警及查看：當(dāng)威脅發(fā)生時，SLS會將檢測到當(dāng)威脅情報通知給用戶。

威脅分析

查看告警詳情。上述告警，發(fā)現(xiàn)了SLB出現(xiàn)了威脅IP訪問。點擊詳情會跳轉(zhuǎn)到對應(yīng)云產(chǎn)品的查詢分析控制臺。

不同云產(chǎn)品威脅情報字段。
威脅情報字段詳情。

威脅情報控制臺進一步分析
控制臺地址，搜索對應(yīng)的威脅詳情。

可以發(fā)現(xiàn)，該ip存在暴力破解、WEB攻擊的行為，且高危險等級。并結(jié)合自身業(yè)務(wù)做出該IP是否異常的判斷。

威脅情報響應(yīng)

威脅：

若斷定為威脅情報，需要針對具體的云產(chǎn)品設(shè)置訪問控制，拒絕異常訪問。例如，可以給SLB配置訪問控制，將威脅IP置為黑名單過濾。

誤報：
告警提供了白名單機制，可以屏蔽誤報IP。