态势感知收集企业20种原始日志和网络空间黑客实体威胁情报,利用机器学习还原已发生的攻击,并预测未发生的攻击。
云盾态势感知提供基础版及企业版两个版本。
① 基础版免费提供异常登录检测和主机漏洞检测服务。
② 企业版按照包年包月方式收取服务费用,提供安全告警、主机和网络漏洞检测及修复、基线检查、资产指纹、安全分析、和日志检索等全面的安全服务。
关于基础版和企业版的具体功能对比,请参照下文。
下表罗列了态势感知的功能详情以及基础版和企业版之间的功能差异,其中用到如下标识:
1)×:表示不包含在服务范围中。
2)√:表示包含在服务范围中。
3)增值:表示需要在购买服务时单独勾选,才包含在服务范围中。
功能 | 功能项 | 功能详情 | 基础版 | 企业版 |
安全告警 | 异常登录检测 | 【非常用登录地登录】系统自动记录ECS常用登录地(也支持手动添加),若在非常用登录地进行登录,则触发告警。 | √ | √ |
【暴力破解】检测ECS在多次尝试登录失败后最终登录成功的情况,这类情形很有可能是密码被暴力破解。 | √ | √ | ||
【非合法IP登录】开启后,允许用户配置ECS合法登录IP(如堡垒机IP、办公网IP等);若使用非指定的IP登录,则触发告警。 | × | √ | ||
【非合法账号登录】开启后,允许用户配置ECS合法登录账号;若使用非合法账号登录,则触发告警。 | × | √ | ||
【非合法时间登录】开启后,允许用户配置合法登录时间(如工作时间);若在非合法登录时间登录,则触发告警。 | × | √ | ||
网站后门查杀 | 【Webshell检测】主机+网络双重检测机制。 1)主机检测:实时监控主机上网站目录文件变化。 2)网络检测:通过文件还原及Webshell通信指纹进行检测。 |
仅主机检测 | √ | |
【Webshell查杀】支持在控制台一键隔离检测出来的Webshell文件。注:已隔离文件在30天内可以恢复。 | × | √ | ||
【Webshell查杀范围】PHP、ASP、JSP等类型的网站脚本文件。 | √ | √ | ||
恶意进程(云查杀) | 【病毒检测】定期扫描进程并监控进程启动事件,通过云查杀机制检测恶意病毒和木马进程。 | × | √ | |
【病毒查杀】支持在控制台一键中止进程和隔离恶意文件。 | × | √ | ||
【病毒查杀范围】 1)勒索病毒:WanaCry、CryptoLocker等加密文件型勒索软件。 2)恶意攻击:对外DDoS攻击木马、对外恶意扫描木马、垃圾邮件发送木马等。 3)挖矿软件:占用服务器非法挖掘虚拟货币的资源消耗型软件。 4)肉鸡程序:中控木马、恶意中控连接、黑客工具等。 5)其他病毒:蠕虫病毒、Mirai病毒、感染型病毒等。 |
× | √ | ||
【病毒库】 1)更新机制:病毒版本部署在云端,由阿里云统一控制,实时更新,客户端本地无检测引擎。 2)病毒样本能力:基本覆盖全种类病毒,在云端集成国内外主流杀毒引擎、阿里云自研沙箱和机器学习引擎等。 |
× | √ | ||
进程异常行为 | 【异常行为检测】通过云上真实的攻防场景对入侵链路还原,建立进程行为白名单,对于进程的非法行为、黑客的入侵过程进行告警。 | × | √ | |
【异常行为检测范围】 1)反弹Shell:检测Bash进程执行可疑指令,服务器被远程控制执行任意命令等。 2)数据库异常指令执行:检测MySQL、PostgreSQL、SQLSserver、Redis、Oracle等数据库的异常指令。 3)应用进程非法操作:检测Java、FTP、Tomcat、Docker容器、Lsass.exe等应用进程的非法操作。 4)系统进程非法行为:检测Powershell、SSH、RDP、SMBD共享、SCP文件拷贝等系统进程的非法行为。 5)其他可疑进程行为:检测Vbscript、Host被访问、crontab被写入、Webshell写入等。 |
× | √ | ||
【异常行为检测能力】为数百个进程建立了近千个行为模型,通过比对模型分析异常行为。 | × | √ | ||
敏感文件篡改 | 【篡改检测】实时监控敏感目录及文件,对于异常的读取、写入、删除等敏感操作进行告警。 | × | √ | |
【文件篡改检测范围】 1)系统文件篡改:检测Bash、ps命令进程被恶意替换,隐藏的非法进程运行等。 2)网站核心文件删除:检测黑客非法登录服务器后,恶意删除网站文件。 3)网站挂马篡改:检测网站被加入恶意代码,造成访问者自动下载木马病毒。 4)其他可疑事件:检测Linux、MysqlDB等被勒索软件篡改登录界面,留下邮箱或比特币钱包地址等情形。 |
× | √ | ||
异常网络连接 | 【异常连接】在主机层和网络层对网络连接进行监控,识别非法的连接行为,并进行告警。 | × | √ | |
【异常连接检测范围】 1)主动外连:可疑SHELL反弹、Bash主动外连等主动外连到可疑IP。 2)恶意攻击:被种植恶意软件,对外发动SYN-Flood、UDP-Flood、ICMP-Flood等恶意攻击。 3)可疑通信:检测后门程序通信、可疑Weshell通信行为等。 |
× | √ | ||
漏洞管理 | Linux软件漏洞 | 【Linux软件漏洞检测】对标CVE官方漏洞库,采用OVAL匹配引擎进行软件版本比对,对当前使用的软件版本中存在的漏洞进行告警。 | √ | √ |
【漏洞修复】支持一键运行update升级命令修复漏洞,以及生成漏洞修复命令,用于手动修复。 | × | √ | ||
Windows系统漏洞 | 【Windows系统漏洞检测】同步微软官网补丁源,对高危及有影响的漏洞进行检测和提醒。 | √ | √ | |
【漏洞修复】支持一键下载补丁文件并静默安装更新,需要重启的漏洞会进行提醒。 | √ | √ | ||
Web-CMS漏洞 | 【Web-CMS漏洞检测】监控网站目录,识别通用建站软件,通过漏洞文件比对方式检测建站软件中的漏洞。 | √ | √ | |
【漏洞修复】自研漏洞补丁,支持一键修复,通过文件替换、修改等方式从源代码级别修复漏洞。 | × | √ | ||
其他漏洞 | 【其他漏洞检测】检测如软件配置型漏洞、系统组件型漏洞等漏洞;支持自动检测,但不支持修复。 | √ | √ | |
Web漏洞扫描 | 通过公网模拟攻击的方式,主动探测您服务器暴露在公网上的安全漏洞,由 阿里云云盾·网络漏洞扫描系统 提供服务。 | × | × | |
基线检查 | 主机基线 | 【主机基线检查】通过任务下发模式,对主机进行安全配置扫描,对未符合标准的项目进行提醒。 | × | √ |
【主机基线检查范围】 1)账号安全:检测密码策略合规、系统及应用弱口令等。 2)系统配置:检测组策略、登录基线策略、注册表配置等存在的风险。 3)数据库风险:检测Redis数据库高危配置等。 4)合规对标要求:检测是否符合CIS-Linux Centos7等系统基线要求。 |
× | √ | ||
【检测策略】支持自定义检测策略,设置检测项目、检测周期、应用的服务器组等。注:暂不支持自定义检测脚本。 | × | √ | ||
云产品基线 | 【云产品基线检测】检测ECS、RDS等云产品的安全配置是否存在安全隐患。 | × | √ | |
【云产品基线检查范围】 1)ECS:检测安全组端口访问策略是否过宽。 2)SLB:检测是否转发不必要的端口至公网,增加系统受攻击风险。 3)RDS:检测数据库是否公开在外网,以及是否配置访问白名单。 4)Actiontrail:是否开启了操作日志审计,便于日志回溯。 5)MFA:是否开启了双因素认证登录,防止阿里云账号被破解。 6)其他:检测SLB白名单、RDS加密通信等。 |
× | √ | ||
资产指纹 | 端口监听 | 收集和呈现端口监听信息,记录变动历史,便于清点开放的端口信息。 | × | √ |
账号管理 | 收集账号及对应权限信息,可清点特权账号,检测提权行为。 | × | √ | |
进程管理 | 收集和呈现进程快照信息,便于自主清点合法进程,检测异常进程。 | × | √ | |
软件管理 | 清点软件安装信息,在高危漏洞爆发时可快速定位到受影响资产。 | × | √ | |
网站后台管理 | 识别网站后台资产,监控是否有撞库和异常网站后台登录行为。 | × | √ | |
安全分析 | 访问分析 | 汇总SLB、ECS的所有流量统一查看,帮助区分爬虫和正常访问流量。 | × | √ |
攻击分析 | 支持查看系统遭受的Web攻击详情和ECS遭受的暴力破解攻击。 | × | √ | |
威胁分析 | 识别定向的暴力破解、后门撞库攻击,发现系统的高级威胁。 | × | √ | |
AK&账号密码泄露 | 实时监控Github等第三方代码托管网站,捕获并判定被公开的源代码(包含企业员工私自上传并不小心公开的源代码)中是否含有ECS、RDS、Redis、MySQL等资产的登录名和密码信息。 | × | √ | |
十块大屏 | 支持查看业务运营监控、安全应急响应中心、安全感知体系、安全防御体系大图、业务访客概览等共十块数据大屏。 | × | 增值 | |
日志检索 | 进程日志 | 【进程启动】进程一旦启动,系统记录下该启动事件的详细信息,使用日志功能可查询进程启动记录。 | × | 增值 |
【进程快照】系统抓取并存储某一时刻的进程全量日志,使用日志功能可查询进程快照信息。 | × | 增值 | ||
网络日志 | 【网络连接日志】查询主机主动对外发起网络连接的记录。【网络会话日志】主机端和网络端同时采集连接五元组信息,使用日志功能可查询网络会话记录。【Web访问日志】系统从网络上抓取HTTP的访问日志,使用日志功能可查询Web访问记录。注:暂不支持HTTPS。【DNS日志】查询对外请求的DNS解析日志。注:暂不支持内网DNS。 | × | 增值 | |
其他日志 | 【系统登录】查询SSH、RDP的系统登录流水中登录成功的日志。 | × | 增值 | |
【暴力破解】查询SSH、RDP的系统登录流水中多次连续登录失败的日志。 | × | 增值 | ||
【端口监听快照】系统抓取并存储某一时刻的所有对外监听端口的快照数据,使用日志功能可查询端口监听信息。 | × | 增值 | ||
【账号快照】系统抓取并存储某一时刻的所有账号信息的快照数据,使用日志功能可查询账号信息。 | × | 增值 | ||
日志投递 | 支持将安全日志投递到 阿里云日志服务(Log Service),便于使用日志服务进行日志分析,或再次投递到MaxCompute(ODPS)、OSS中,进行自定义二次分析等。 | × | 增值 |
云盾态势感知提供的是一项SaaS服务,即在大规模云计算环境中,对那些能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获和分析。然后,把客户当前遇到的安全威胁与过去的威胁进行关联回溯和大数据分析,从而预测未来可能发生的安全事件及威胁风险,并提供一个体系化的安全解决方案。
① DT时代,信息安全问题已经慢慢演化成大数据分析问题,大规模的安全数据需要进行有效的关联、分析和挖掘才能产生实际价值。云盾态势感知通过机器学习和数据建模发现潜在的入侵和高级攻击威胁,帮助客户建设自己的安全监控和防御体系,从而解决因网络攻击导致企业数据泄露的问题。
② 做为一个集合了大数据和安全的跨界团队,态势感知产品不再用传统的方法去解决信息安全问题,而是通过海量数据的收集、分析与展现,帮助企业获得更好的全局可见性和安全智能性,来抵御来自四面八方的新型安全威胁。最终让企业用户减少增加数据源、规则和事件影响的费用,让IT部门用最少的人完成最多的事。
③ 传统以防御为核心(Signature Based)的安全策略已经过时,信息安全正在变成一个大数据分析问题,大规模的安全数据需要被有效地关联、分析和挖掘,安全需要通过机器学习的方法自动侦测异常行为,通过大数据技术来提高扩展性、灵活性以及处理性能。
1)业务上云后,安全事件的集中化管理。
2)扩大安全可见性,并实时监控。
3)满足安全合规性,180天的日志存储和检索。
1)实时监控云上整体安全,对40余种安全事件进行告警,并算出安全得分,邮件发送安全日报。
2)定期对云上网站进行漏洞扫描,提供漏洞监控和漏洞修复服务。
3)对ECS中发生的入侵事件,如Webshell,恶意软件,核心数据被加密勒索等进行回溯,发现入侵的原因和入侵的全过程。
4)对Web访问日志进行检索,调查访问量,统计和分析各维度的原始日志信息。
5)监控AK泄露,网络入侵事件,DDoS攻击事件,ECS恶意肉鸡行为等,并对ECS开放的端口进行实时监控。
1)事前预防:弱点分析,资产态势监控,资产依赖关系梳理,定时漏洞扫描,安全配置监控;提供漏洞补丁,资产弱点告警。
2)事中阻断:入侵检测,攻击识别,异常检测 ,实时发现Web层,主机层攻击,通过全网威胁情报和大数据分析对入侵事件进行实时检测;实施攻击阻断,入侵防御。
3)事后回溯:对安全事件进行回溯和调查,并提供全量原始日志的检索功能,对攻击事件的影响和系统防御效果态势进行自定义调查。
区别于传统IDC和SIEM(仅做了被识别的告警事件关联),从海量的原始数据中分析信息,通过机器学习的模型完成对安全事件过程的完整还原 。同时,态势感知聚焦在敌我态势,对敌方的实体(黑客本人,黑客组织)进行长期的威胁情报监控和行动点技术手段观测,对我方薄弱环节进行实时感知,对安全决策具有重要参考意义。
通过可视化大屏,对云上整体安全进行实时监控和告警。
Note |
|
随着产品版本更新和功能迭代,列表可能和实际功能有偏差,请以控制台的实际功能为准。 |