启用微步威胁情报后,您可在威胁情报页面查看威胁扫描结果,并集中处理告警事件。本文介绍了威胁情报的使用方法。

前提条件

已开通微步威胁情报服务。具体参见开通服务

步骤一:查看威胁情报的统计概览

  1. 登录阿里云云安全中心控制台
  2. 在左侧导航栏单击调查响应 > 微步威胁情报
  3. 威胁情报页面查看威胁情报基本信息。
    可查看今日、近7天或近30天的告警主机数量、告警数量、待处理告警事件、日志数量、威胁趋势、威胁类型、威胁命中次数从大至小排序前5名的威胁名称信息及告警事件列表。Overview
    • 威胁趋势:查看今日、近7天或近30天的检测趋势告警趋势的线型趋势图,可查看某一时刻的检测数量告警数量,助您了解资产的风险趋势变化和安全态势。
       trend
    • 威胁类型:查看今日、近7天或近30天的威胁包含的类型。模块中间部分显示已检测到威胁类型,模块下方显示微步情报在线可检测的所有威胁类型,包含APT、团伙、事件、家族、其他。
      type
    • 威胁名称TOP5:查看今日、近7天或近30天的威胁命中次数从大至小排序前5名的威胁名称信息。
      name

步骤二:查看威胁情报的告警事件

威胁情报页面下方,查看今日、近7天或近30天的威胁告警事件列表信息,包括主机、威胁类型、命中IOC、严重级别、命中次数、最近一次发现时间、处置状态等。

alarm

执行以下操作,查看告警事件详情。

  • 搜索告警事件:根据威胁类型、处置状态(已处置、未处置)或输入主机IP筛选定位到特定的告警事件。
    说明 主机IP不支持模糊搜索,请输入准确的主机IP地址。
    搜索
  • 查看告警明细:单击目标主机操作栏下的告警明细,查看目标主机的告警源信息,包括时间、源端口、DNS服务器、DNS端口、DNS查询类型。
    明细
  • 查看命中的IOC详情:单击目标主机命中IOC栏下的IOC名称查看IOC详情,包括基础信息、IP地址、历史解析记录、子域名、当前注册信息、相关事件、可疑URL、相关样本、下载样本、SSL数字证书。
    说明 单击对应配置项页签可展开该配置详情。
    IOC
  • 导出告警事件:单击导出按钮,将检测到的所有告警统一导出并保存CSV文件到本地。
    导出

步骤三:处理威胁情报的告警事件

根据威胁告警事件详情,分析定位并处理微步在线检测出的被控主机安全威胁告警事件。

完成处理主机的告警事件后,在告警事件列表定位到该主机,单击主机处置状态栏的按钮,标记主机的威胁告警处置状态已处置

处置状态