“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应
发布时间:2020-03-31 02:01:57 所属栏目:动态 来源:站长网
导读:副标题#e# 传统企业安全中,部署了EDR(Endpoint Detection and Response)及NDR(Network Detection and Response)产品的企业,可及时定位失陷资产,响应终端威胁,减少攻击产生的危害。EDR和NDR在传统企业安全中为企业起到了保驾护航的重要作用。 但随着
|
UBA日志存放的是用户行为分析日志,该模块主要基于腾讯云用户在控制台的相关操作记录以及使用云API进行自动化操作的相关记录进行账号安全性分析,并及时提示运维人员进行相关风险处理。目前UBA模块已有的风险场景有以下四种:用户权限提升、资产高风险权限修改、用户权限遍历、新用户高危操作。 - CLB日志 CLB存放的是腾讯云负载均衡产品的访问日志数据,负载均衡(Cloud Load Balancer)是对多台云服务器进行流量分发的服务。负载均衡可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。 ● 响应中心 响应中心是在安全事件发生后,通过内置的安全编排响应剧本,联动云上各类安全措施和产品对安全事件进行自动化响应处置并提供响应报告详情,可以及时阻断风险,配置加固资产,将安全事件的风险最大程度的降到最低。目前内置的剧本有SSH口令爆破类事件、RDP口令爆破类事件、Linux主机挖矿木马类事件及Windows主机挖矿木马类事件等云上常见的安全事件。
以SSH口令爆破事件为例,来看一下当安全事件发生后,响应中心如何快速的进行处置,将风险尽快排除。
上图可以看到,当SSH口令爆破事件发生后,剧本提供了四个步骤来处置,依次是:排查攻击源、排查被攻击资产、基线检测、木马检测。 1. 排查攻击源 (编辑:92站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
