阿里云开启态势感知服务作用是什么?

来源:蜘蛛抓取(WebSpider) 时间:2022-06-23 08:40 标签: 态势理解

    态势感知基本概念 内容精选 换一换

  • 网站漏洞是通过网络进行爬虫,智能对比漏洞特征检测出的web漏洞。态势感知具有OWASP TOP10和WASC的漏洞检测能力,支持扫描22种类型以上的漏洞,扫描规则云端自动更新,全网生效,及时涵盖最新爆发的漏洞及支持HTTPS扫描。 主机线 主机线检查分为操作系统线检查和中间件线检查,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检查。

  • 基本概念 本节介绍态势感知相关概念态势感知(Situation Awareness,SA)是可视化威胁检测和分析的平台。态势感知能够检测出超过20大类的云上安全风险,利用大数据分析技术,态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和聚合分析,为用户呈现出全局安全攻击态势

    • 态势感知基本概念 相关内容

  • 基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的

  • 使用前必读 概述 调用说明 终端节点 基本概念

    • 态势感知基本概念 更多内容

  • 0~24:00 选择检查规范。 选择需要检测的线检查项目。更多关于线检查项目详细描述请参见云服务线简介。 单击“确定”。 检查计划创建完成。 SA会在指定的时间执行云服务线扫描,扫描结果可以在“安全与合规 > 态势感知 > 线检查”中查看。 父主题: 设置

  • 在页面左上角单击,选择“安全与合规 > 态势感知 > 分析报告”,进入安全报告管理页面。 图1 编辑安全报告 选择目标报告,单击“编辑”,跳转到报告基本信息配置页面。 图2 修改报告基本信息 (可选)编辑报告基本信息。 单击“下一步”,跳转到报告内容配置页面。 (可选)勾选报告模块,自定义小结。

  • 仅标准版和专业版支持忽略和标记告警事件,础版不支持。 仅支持导出近180天的全部告警事件,暂不支持筛选导出告警事件信息。 查看告警详情 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 态势感知”,进入态势感知管理页面。 在态势感知管理页面选择“威胁告警 > 告警列表”,进入态势感知告警列表管理页面。

  • 查看报告详情 小节主要介绍发送报告后,如何查看历史报告详情。 约束限制 成功发送一期报告后,才能查看历史报告详情。 操作步骤 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 态势感知 > 分析报告”,进入安全报告管理页面。 图1 查看报告列表 选择目标报告,单击报告图标,跳转到最新一期报告详情页面。

  • 前提条件 已购买态势感知专业版,且在有效使用期内。 新建安全报告 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 态势感知 > 分析报告”,进入安全报告管理页面。 图1 新建安全报告 单击“创建报告”,跳转到报告基本信息配置页面。 图2 配置报告基本信息 配置报告基本信息。 表1

  • 设置线检查计划 态势感知支持根据线检查计划检查您的服务器线配置是否存在风险。 本文档介绍了如何新增、编辑、删除线检查计划。 背景信息 开通线检查服务后,态势感知将使用默认检查计划对所有资产进行检查。默认检查计划的自动检查时间、检查对象如下: 自动检查时间:每隔3天检查一

  • 区之间内网互通。 检查VPC规范是否合理。 态势感知启用检查 态势感知(Situation Awareness,SA)是华为云安全管理与态势分析平台,能够检测出超过20大类的云上安全风险,利用大数据分析技术,为用户呈现出全局安全攻击态势。 检查是否已启用SA。 WAF启用(云模式/独享模式/ELB模式)检查

  • 仅可呈现近180天的检测结果。 前提条件 已接收到安全产品的检测结果。 操作步骤 登录管理控制台。 在页面左上角单击,选择“安全与合规 > 态势感知”,进入态势感知管理页面。 在左侧导航栏选择“检查结果”,进入全部结果管理页面。 图1 查看全部结果列表 筛选查看检测结果。 在场景列框选择过滤

  • 产品基本概念 存储库 云备份使用存储库来存放备份,存储库分为备份存储库和复制存储库两种: 备份存储库是存放服务器和磁盘产生的备份副本的容器,备份存储库同时又分为以下几种: 云服务器备份存储库:分为两种规格,一种为仅存放普通备份的服务器备份存储库;一种为仅存放含有数据库的服务器产生

  • 基本概念 云容器引擎(Cloud Container Engine,简称CCE)提供高度可扩展的、高性能的企业级Kubernetes集群,支持运行Docker容器。借助云容器引擎,您可以在云上轻松部署、管理和扩展容器化应用程序。 云容器引擎提供Kubernetes原生API,支持

  • 产品基本概念 表1 存储容灾基本概念 概念 说明 生产站点 正常情况下承载业务的数据中心机房,可以独立运行,对业务的正常运作起到直接支持作用。对于SDRS,生产站点在创建保护组时指定,即租户的服务器所在的位置。 容灾站点 正常情况下不直接承载业务机房,主要用于数据实时备份,在生产

  • 解:整合感知到的数据和信息,分析其相关性,比如理解攻击的危害、攻击发生的原因等。对此,预测:于对云上安全信息的感知和理解,预测相关攻击未来的发展趋势。呈现:即通过可视化技术,把攻击情况清楚地显示出来。决策:即对态势感知提供的洞察,采取的相应的防护措施。于以上基本概念,业界实现

  • CVR),于华为云础设施多元架构、极致性能、端边云融合等优势,依托华为在处理器、GPU等领域多年技术积累,针对3

  • 产品基本概念 使用之前,请先了解以下相关概念,从而更好的使用弹性文件服务。 NFS NFS(Network File System),即网络文件系统。一种使用于分散式文件系统的协议,通过网络让不同的机器、不同的操作系统能够彼此分享数据。 Linux系统建议使用NFS协议类型的文件系统。

  • 产品基本概念 表1 弹性负载均衡基本概念 名词 说明 负载均衡器 负载均衡器是指您创建的承载业务的负载均衡服务实体。 监听器 监听器负责监听负载均衡器上的请求,根据配置的流量分配策略,分发流量到后端云服务器处理。 后端服务器 负载均衡器会将客户端的请求转发给后端服务器处理。例如,

  • 云硬盘基本概念 表1 云硬盘基本概念 概念 说明 保留期 资源到期前,未续费或账户余额低于0,则到期后资源会进入保留期。保留期内资源会被冻结,业务中断。 IOPS 云硬盘每秒进行读写的操作次数。 吞吐量 云硬盘每秒成功传送的数据量,即读取和写入的数据量。 IO读写时延 云硬盘连续两次进行读写操作所需要的最小时间间隔。

  • ,隐蔽的信道相抗衡了。因此,态势感知成为未来网络安全的关键。 本质上讲,网络安全就是发生在虚拟世界的攻防战,速度为王,而态势感知系统的作用就是分析安全环境信息、快速判断当前及未来形势,以作出正确响应。用“全天候全方位感知网络安全态势”来表述建设态势感知的目标十分准确,这包括了时间和检测内容两个维度。

  • 华为HiLens开发套件。也可以专门代表集成了华为海思昇腾芯片,高性能推理能力,支持于深度学习技术,实现图像、视频的分析、推理的智能推理摄像机,帮助用户快速安装、部署多种AI技能。 HiLens Framework 封装础开发组件,为开发者提供简单易用的开发接口,使开发者专注于其业务应用之上,提升开发体验和开发效率。

  • 基本概念 产品基本概念 项目和企业项目 区域和可用区

  • 基本概念 Anycast IP 监听器 终端节点组 终端节点 健康检查 区域和可用区

  • 因测序流程包含测序过程所需工具的执行先后信息以及数据输入输出等定义。流程由至少一个工具组成。流程中的各个工具由其前后顺序关系形成数据流,前序工具为后序工具提供输入。因容器为您提供了多套典型的测序流程,于此流程,您可以快速完成测序任务。 工具(Tool)

  • 基本概念 物理连接 虚拟网关 虚拟接口 区域和可用区

  • 基本概念 伸缩组 伸缩组是具有相同应用场景的实例的集合,是启停伸缩策略和进行伸缩活动的基本单位。 伸缩配置 伸缩配置是伸缩组内实例(弹性云服务器)的模板,定义了伸缩组内待添加的实例的规格数据。包括云服务器类型、vCPU、内存、镜像、磁盘、登录方式等。 伸缩策略 伸缩策略可以触发伸

  • 基本概念 推荐系统 推荐系统,是全力提供媒资、短视频、电商等行业的推荐系统解决方案,帮助互联网企业降低构建推荐应用的技术门槛,提升点击率、留存率和用户体验。 智能场景 针对对应的场景,由RES根据场景类型预置好对应的智能算法,为匹配的场景提供智能推荐服务。 自定义场景 面向了解推

  • 基本概念 表1 备案常用概念说明 常用名词 说明 ICP 网络内容提供商(Internet Content Provider, ICP),向广大用户提供互联网信息业务和增值业务。 备案 备案是中国大陆的一项法规,使用大陆节点服务器提供互联网信息服务的用户,需要依法履行备案手续。华为云为您提供免费备案服务。

  • 基本概念 帐号 用户注册华为云时的帐号,帐号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于帐号是付费主体,为了确保帐号安全,建议您不要直接使用帐号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由帐号在IAM中创建的用户,是云

  • 基本概念 容器洞察引擎 容器洞察提供于Kubernetes原生类型的容器监控能力,支持容器工作负载的资源全景、资源消耗、近一小时指标展示,以及故障一览和故障分析。 调用链 调用链展示可视化的服务调用执行轨迹和状态,协助性能及故障快速定界。 Exporter Exporter是P

  • 基本概念 帐号 用户注册华为云时的帐号,帐号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于帐号是付费主体,为了确保帐号安全,建议您不要直接使用帐号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由帐号在IAM中创建的用户,是云

提交成功!非常感谢您的反馈,我们会继续努力做到更好 反馈提交失败!请稍后重试!

  网络空间的安全对抗日趋激烈,传统的安全技术不能全面满足安全防护的需要。当前,安全业界普遍认同的一个理念是:仅仅防御是不够的,更需要持续地检测与响应。然而要做到持续有效的检测与快速的响应,安全漏洞、安全情报必不可少。

  2013年,Gartner 首次提出关于威胁情报的定义:威胁情报是关于现有或即将出现的针对资产有威胁的知识,包括场景、机制、指标、启示和可操作建议等,且这些知识可为主体提供威胁的应对策略。简单来讲,威胁情报就是通过各种来源获取环境所面临的威胁的相关知识,主要描述现存的、即将出现的针对资产的威胁或危险。Forrester 认为威胁情报是针对内部和外部威胁源的动机、意图和能力的详细叙述,可以帮助企业和组织快速了解到敌对方对自己的威胁信息,从而帮助提前威胁防范、攻击检测与响应、事后攻击溯源等能力。

  威胁情报颠覆了传统的安全防御思路,它以威胁情报为核心,通过多维度、全方位的情报感知,安全合作、协同处理的情报共享,以及情报信息的深度挖掘与分析,帮助信息系统安全管理人员及时了解系统的安全态势,并对威胁动向做出合理的预判,从而将传统的“被动防御”转变为积极的“主动防御”,提高信息系统的安全应急响应能力。如果说了解漏洞信息是“知己”,那么掌握安全威胁则是“知彼”。

  02 威胁情报的用途

  1. 安全模式突破和完善

  基于威胁情报的防御思路是以威胁为中心的,因此,需要对关键设施面临的威胁做全面的了解,建立一种新型高效的安全防御体系。这样的安全防御体系往往需要安全人员对攻击战术、方法和行为模式等有深入的理解,全面了解潜在的安全风险,并做到有的放矢。

  2. 应急检测和主动防御

  基于威胁情报数据,可以不断创建恶意代码或行为特征的签名,或者生成NFT(网络取证工具)、SIEM/SOC(安全信息与事件管理/安全管理中心)、ETDR(终端威胁检测及响应)等产品的规则,实现对攻击的应急检测。如果威胁情报是 IP、域名、URL等具体上网属性信息,则还可应用于各类在线安全设备对既有攻击进行实时的阻截与防御。

  3. 安全分析和事件响应

  安全威胁情报可以让安全分析和事件响应工作处理变得更简单、更高效。例如,可依赖威胁情报区分不同类型的攻击,识别出潜在的APT高危级别攻击,从而实现对攻击的及时响应;可利用威胁情报预测既有的攻击线索可能造成的恶意行为,从而实现对攻击范围的快速划定;可建立威胁情报的检索,从而实现对安全线索的精准挖掘。

  03 威胁情报的发展

  以威胁情报为中心的信息安全保障框架对于生活和生产关键基础设施的稳定运行、军事作战指挥能力保障及国际社会的和平稳定具有重大意义,它受到了来自各国政府、学术界以及全球大型互联网企业的高度重视。近几年,威胁情报行业增长迅速,如 CrowdStrike、Flashpoint、iSight Partners等威胁情报厂商通过建立的威胁情报中心可从网络犯罪、信誉库、漏洞、恶意软件等多个角度满足不同用户的特定需求。

  随着网络安全态势日趋复杂化,威胁情报的研究越显重要。参与威胁情报感知、共享和分析的各方结合自身业务流程与安全需求,针对核心资产增强威胁情报感知能力,积极融合云计算、大数据等前沿技术,建立威胁情报深度分析系统,在深度挖掘与关联融合的基础上做好安全态势评估及风险预警,动态调整安全策略,部署快速可行的安全响应战术,确保关键资产的信息安全。

  威胁情报要发挥价值,一个关键问题在于实现情报信息的共享。只有建立起一套威胁情报共享的机制,让有价值的威胁情报有效流通,才能真正建立起威胁情报的生态系统。当然,威胁情报的生态系统包括两个方面,即威胁情报的生产和威胁情报的消费。威胁情报的生产就是通过对原始数据的采集、交换、分析、追踪等,产生和共享有价值的威胁情报信息的过程;威胁情报的消费则是指将监测到的安全数据与威胁情报进行比对、验证、关联,并利用威胁情报进行分析的过程。

  因此,一个先进的防御系统应本着“和平利用、利益均衡”的原则开展安全协同共享,努力构筑和谐、健康、成熟的威胁情报生态圈,而威胁情报的生产和消费过程则可更有利构筑一个安全情报生态系统的闭环。

  04 威胁情报的数据采集

  威胁情报是从多种渠道获得用以保护系统核心资产的安全线索的总和,在大数据和“互联网+”应用背景下,威胁情报的采集范畴极大扩展,其获取来源、媒体形态、内容类型也得到了极大的丰富,如防火墙、IDS、IPS等传统安全设备产生的与非法接入、未授权访问、身份认证、非常规操作等事件相关的安全日志等都是威胁情报的数据来源,还包括沙盒执行、端点侦测、深度分组检测(DPI)、深度流量检测(DFI)、恶意代码检测、蜜罐技术等系统输出结果,及安全服务厂商(如FireEye)、漏洞发布平台(如 CVE)、威胁情报专业机构(如CERT)等提供的安全预警信息。

  05 威胁情报的分析方法

  威胁情报本来只是一种客观存在的数据形态,只有通过先进的智能分析才能被安全防御者感知和利用。关联融合、时间序列、流数据技术等可应用于从海量的网络信息中提取威胁特征,有助于威胁情报的横向和纵向关联分析;聚类分析、协同推荐、跨界数据融合等技术可用于深度挖掘多维线索之间隐藏的内在联系,进而实现对系统的整体威胁态势进行行为建模与精准描述。大数据分析、深度学习、人工智能 2.0 等新技术则可用于协助构建威胁情报的智能研判与综合预警平台。

  06 威胁情报的服务平台

  X-Force Exchange能够为全球提供对IBM及第三方威胁数据资源的访问,包括实时的攻击数据。它整合了IBM的威胁研究数据和技术,包括Qradar安全情报平台、IBM客户安全管理服务分析平台。IBM声称该平台集聚了超过700 TB的原始数据,并在不断更新。X-Force Exchange的用户可以共享利用多种数据资源,包括:世界上最大的漏洞目录之一、基于每天150亿起安全事件监控的威胁情报、来自2700万终端网络的恶意威胁情报、基于250亿网页和图片的威胁信息、超过 800万封垃圾邮件和钓鱼攻击的深度情报、接近 100万恶意 IP地址的信誉数据等。

  X-Force 平台还包括帮助整理和注释内容的工具,以及在平台、设备和应用程序之间方便查询的API库,允许企业处理威胁情报并采取行动。IBM表示,该平台还将提供对STIX和TAXII的支持,以及自动化威胁情报共享和安全方案整合新标准的支持。

  2. 360威胁情报中心

  360威胁情报基础信息查询平台向业界开放免费查询服务,这是国内首个向公众开放的威胁情报数据查询服务平台。360威胁情报基础信息查询平台的上线标志着国内安全威胁情报共享进入新阶段,所有安全厂商、政企用户的安全研究与分析人员在经过线上注册审核后,都可以免费进行查询。

  360威胁情报中心具有关联分析和海量数据两大特色。互联网安全的数据是多种多样且相互关联的,但依靠孤立的数据无法进行未知威胁的分析和定性,只有将信息关联起来才能看清整体的威胁态势。平台可以将用户所提交的查询信息关联起来,协助用户进行线索拓展,对安全分析工作提供有力帮助。360 公司基于多年的互联网安全大数据积累,拥有全球独有的安全样本库,总样本量超过95亿,包括互联网域名信息库(50亿条DNS解析记录),还包括众多第三方海量数据源。基于情报中心大数据,可有效帮助用户进行多维关联分析,挖掘出在企业自身或组织内部分析中无法发现的更多安全隐患线索。

  3. 阿里云盾态势感知

  阿里云盾态势感知是全球唯一能感知“渗透测试”的安全威胁服务平台,如可以区分脚本小子和高级黑客、识别零日应用攻击、捕捉高隐蔽性的入侵行为、溯源追踪黑客身份等。云盾平台利用大数据,可对高级攻击者使用的零日漏洞攻击进行动态防御,如可以采用新型病毒查杀,并通过爬取互联网泄露的员工信息,实时告警、杜绝黑客“社工”;能够对各种潜在威胁及时识别和汇总分析;能够实现基于行为特征的Webshell检测、基于沙箱的恶意病毒精确查杀等。

  07 威胁情报的开源项目

  1. 安全威胁情报共享框架OpenIOC

  MANDIANT 公司基于多年的数字取证技术积累,将使用多年的情报规范开源后形成OpenIOC(Open Indicator of Compromise)框架,它是一个开放灵活的安全情报共享框架。利用OpenIOC,重要的安全情报可以在多个组织间迅速传递,极大缩短检测到响应的时间延迟,提升紧急安全事件响应与安全防范的能力。OpenIOC本身是一个记录、定义以及共享安全情报的格式,以机器可读的形式实现不同类型威胁情报的快速共享。OpenIOC本身是开放、灵活的框架,因此可以方便添加新的情报,完善威胁情报指标IOC。

  OpenIOC的工作流程如下。

  (1)获取初始证据:根据主机或网络的异常行为获取最初的数据。

  (2)建立IOC:分析初步获得的数据,根据可能的技术特征建立IOC。

  (3)部署IOC:在企业的主机或网络中部署IOC,并执行检测。

  (4)检测发现更多的可疑主机。

  (5)IOC优化:通过初步检测可获取的新证据进行分析,优化已有的IOC。

  CIF(Collective Intelligence Framework)是一个网络威胁情报管理系统,它结合了多个威胁情报来源获取已知的恶意威胁信息,如IP地址、域名和网址信息等,并利用这些信息进行事件识别、入侵检测和路由缓解等。

  OSTrICa 是一个免费的开源框架,采用基于插架的架构。OSTrICa 自身并不依赖外部的库,但安装的插件需要依赖库。OSTrICa可以实现自动从公开的、内部的、商业的数据源中收集信息,并可视化各种类型的威胁情报数据,最终由专家来分析收集的情报,并显示成图形格式,还可基于远程连接、文件名、mutex等,显示多个恶意软件的关联信息。

  CRITs 也是一个网络威胁数据库,不仅可作为攻击和恶意软件库的数据分析引擎,还提供了恶意软件分析能力。CRITs 采用简单实用的层次结构来存储网络威胁信息,这种结构具备分析关键元数据的能力,可以发现未知的恶意内容。

我要回帖

更多关于 态势理解 的文章

 

随机推荐