云安全中心支持自动化攻击溯源,可对攻击事件进行自动化溯源并提供原始数据预览。

背景信息

云安全中心攻击溯源功能结合多种云产品日志,通过大数据分析引擎对数据进行加工、聚合、可视化,形成攻击者入侵的链路图,帮助您在最短时间内定位入侵原因和制定应急决策。攻击溯源适用于云环境下的Web入侵、蠕虫事件、勒索病毒、主动连接恶意下载源等场景的应急响应与溯源。

云安全中心会在检测到威胁后10分钟,生成自动化攻击溯源的链路。建议您在告警发生10分钟后,再查看该告警相关的攻击溯源信息。

目前,云安全中心攻击溯源已支持所有安全告警类型(请参见安全告警类型列表)。

说明 安全告警触发后超过3个月,该告警的自动化攻击溯源信息将被自动清除。请您及时查看告警事件的攻击溯源信息。

限制说明

  • 自动化攻击溯源是由安全大数据关联计算得出,部分攻击行为可能由于黑客攻击未形成攻击链而无法展示溯源信息,此类情况下可直接查看告警详情。
  • 对于恶意进程(云查杀)这类告警,由于云安全中心会对此类攻击执行自动处理(告警状态为已防御),因此默认不提供恶意进程(云查杀)的攻击溯源信息。云查杀不提供攻击溯源

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏,单击威胁检测 > 安全告警处理
  3. 安全告警处理页面,定位到有溯源图标的告警事件,并单击告警溯源图标攻击溯源图标
    溯源

    单击溯源,您可在告警溯源页面查看攻击告警名称、告警类型、影响的资源、攻击源IP、HTTP请求详情和攻击请求的详细内容。

    溯源详情

    在溯源可视图中,您可以查看该攻击溯源事件整个链路中各个节点的信息。单击各个节点展示该节点的节点属性页面,您可以查看该节点的相关信息。

    节点信息

告警溯源案例

  • 蠕虫传播事件
    下图描述了蠕虫传播源(例如:185.234.*.*)通过SSH暴力破解成功登录到服务器,并通过bash执行curl指令从远端下载挖矿程序并在服务器中执行该挖矿程序。蠕虫传播
  • Web漏洞入侵事件
    下图描述了黑客通过服务器(例如:202.144.*.*)发起攻击,通过Web漏洞向Linux服务器植入恶意shell脚本和挖矿程序,同时将代码写入计划任务(crond)实现攻击持久化。您可以通过溯源页面的节点信息,清晰地了解这一过程。此外,还可以观察到攻击者的多个IP及恶意下载源URL信息。WEB漏洞入侵
    单击图中HTTP攻击节点查看详细信息。流量数据表明入侵者通过Apache Solr未授权访问漏洞控制API接口执行系统命令,您可以针对此漏洞快速进行修复。节点查看