态势感知提供全局安全态势集中管理,包括安全概览、资产管理、威胁告警、基线检查、检查结果、日志管理、产品集成等功能。
安全概览
安全概览呈现云上整体安全评估状况,并联动其他云安全服务,集中展示云上安全。
安全概览功能介绍
| 功能模块 | 功能详情 |
|---|---|
| 安全评分 | 根据分析检测能力,评估整体资产安全健康得分,可快速了解未处理风险对资产的整体威胁状况。 评估得分越低,即风险值越大,则整体资产安全隐患越大。 |
| 安全监控 | 集中呈现未处理的威胁告警、漏洞和合规检查的风险数目,支持快速查看威胁告警、漏洞和合规风险详情。 |
| 安全趋势 | 呈现最近7天整体资产安全健康得分的趋势图。 |
资源管理
态势感知支持呈现云上资产实时安全状态。
资源管理功能说明
| 功能模块 | 功能详情 |
|---|---|
| 资源管理 | 同步当前帐号中所有资源的安全状态统计信息。 支持查看资源的名称、所属服务、安全状况等,帮助您快速定位安全风险问题并提供解决方案。 |
威胁告警
“实时监控”云上威胁攻击,提供告警通知和监控,记录近180天告警事件详情,分析威胁攻击情况,并针对典型威胁事件预置策略实施防御手段。
目前,支持检测和呈现威胁告警事件,包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。
威胁告警功能说明
| 功能模块 | 功能详情 |
|---|---|
| 告警列表 | 列表呈现威胁告警事件统计信息,支持查看告警事件和受威胁资产详情,并支持导出全部告警事件。 |
| 威胁分析 | 支持从“攻击源”或“被攻击资产”查询威胁攻击,统计威胁攻击次数或资产被攻击次数。 |
| 告警监控 | 自定义监控的威胁名单、告警类型、告警级别等,选择性呈现关注的威胁告警。 |
| 通知告警 | 自定义威胁告警通知,支持设置每日定时告警通知和实时告警通知,通过接收消息通知及时了解威胁风险。 |
威胁告警事件
默认“实时监控”并上报威胁告警事件,支持检测和呈现威胁告警事件,包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。
威胁告警事件说明
| 告警名称 | 威胁告警说明 |
|---|---|
| DDoS | “实时检测”互联网主机的DDoS攻击。 共支持检测100+种子类型DDoS威胁。 网络层攻击 NTP Flood攻击、CC攻击等。 传输层攻击 SYN Flood攻击、ACK Flood攻击等。 会话层攻击 SSL连接攻击等。 应用层攻击 HTTP Get Flood攻击、HTTP Post Flood攻击等。 |
| 暴力破解 | “实时检测”入侵资产的行为和主机资产内部的风险,检测SSH、RDP、FTP、SQL Server、MySQL等账户是否遭受的口令破解攻击,以及检测资产账户是否被破解异常登录。 共支持检测22种子类型的暴力破解威胁。 支持检测的暴力破解威胁 包括SSH暴力破解(2种)、RDP暴力破解、MSSQL暴力破解、MySQL暴力破解、FTP暴力破解、SMB暴力破解(3种)、HTTP暴力破解(4种)、Telnet暴力破解。 接入的HSS服务上报的告警事件 包括SSH暴力破解、RDP暴力破解、FTP暴力破解、MySQL暴力破解、IRC暴力破解、Webmin暴力破解、其他端口被暴力破解、系统被成功爆破事件。 |
| Web攻击 | “实时检测”Web恶意扫描器、IP、网马等威胁。 共支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击(3种)、跨站脚本攻击、代码注入攻击(7种)、SQL注入攻击(9种)、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 |
| 后门木马 | “实时检测”资产系统是否存在后门木马风险,以及被后门木马程序入侵后的恶意请求行为。 共支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序,被入侵后访问HFS下载服务器等。 |
| 僵尸主机 | “实时检测”资产被入侵后对外发起攻击的威胁。 共支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解 对外发起Web暴力破解 对外发起MySQL暴力破解 对外发起SQLServer暴力破解 对外发起DDoS攻击 被入侵后安装挖矿程序 |
| 异常行为 | “实时检测”资产系统异常变更和操作行为。 共支持检测21种子类型的异常行为威胁。 支持检测的异常行为威胁 包括文件系统被扫描、CMS V1.0漏洞、敏感文件被访问。 接入的HSS服务上报的告警事件 包括系统成功登录审计事件、文件目录变更监测事件、混杂模式网卡、异常权限用户、反弹Shell、异常Shell、高危命令执行、异常自启动、文件提权、进程提权、Rootkit程序。 接入的WAF服务上报的告警事件 包括自定义规则、白名单、黑名单、地理访问控制、扫描器爬虫、IP黑白名单、非法访问。 |
| 漏洞攻击 | “实时检测”资产被尝试使用漏洞进行攻击。 共支持检测2种子类型的漏洞攻击威胁。 WebCMS漏洞攻击 |
| 命令控制 | “实时检测”资产可能被命令与控制服务器(C&C,Command and Control Server)远程控制,访问与恶意软件或建立与恶意软件之间的链接。 共支持检测3种子类型的命令控制威胁。 监控主机存在访问DGA域名行为 监控主机存在访问恶意C&C域名行为 监控主机存在恶意C&C通道行为 |
基线检查
通过执行云服务基线扫描,检查基线配置风险状态,告警提示存在安全隐患的配置,并提供基线加固建议。
基线检查功能说明
| 功能模块 | 功能详情 |
|---|---|
| 云服务基线 | 通过一键扫描或设置定级扫描,分类呈现云服务配置检测结果,提示不合格检测项,并提供相应配置加固建议和帮助指导。 |
检测结果
通过集成安全防护产品,接入安全产品检测数据,管理全部检测结果。
全部结果功能说明
| 功能模块 | 功能详情 |
|---|---|
| 检测结果 | 通过呈现多种结果类型,支持标记、导出检测结果,并支持自定义结果列表。 1、结果类型 威胁告警、漏洞、风险、合规检查、违法违规、舆情、安全公告。 |
日志管理
通过授权对象存储服务(Object Storage Service,OBS)存储态势感知日志,帮助用户轻松应对安全日志存储、导出场景,满足日志存储180天及集中审计的要求。
日志管理功能说明
| 功能模块 | 功能详情 |
|---|---|
| 日志管理 | 通过OBS存储日志,满足SA日志审计和容灾需求。 |
产品集成
通过集成安全防护产品,接入安全产品检测数据,管理检测结果的数据来源。
产品集成功能说明
| 功能模块 | 功能详情 |
|---|---|
| 安全产品集成 | 通过集成安全防护产品,接入安全产品检测数据,管理检测结果的数据来源,支持查看传输数据量,管理数据上报健康状态。 |
