“用云的方式保护云”: 如何利用云原生SOC进行云端检测与响应
|
安全运维人员可以根据详情页中的处置建议进行一些排查和处置。例如通过ACL策略封禁源IP,阻断其进一步的攻击。同时可以在安全事件页中查看该资产是否存在该漏洞,以及webshell木马是否已经落地。及时有效的安全排查,可以很大程度上降低安全事件的危害。 网络安全事件同时提供了攻击者画像与受害者画像。基于历史的数据,对攻击者近期发起的网络威胁进行汇总,关联是否还有其他的攻击手段,帮助客户更全方位的了解攻击者。下图展示的就是攻击者画像。
下图则是受害者画像,流量威胁TOP5,展示的是受害资产近期遭受的攻击类型次数排名,可以帮助客户更有针对性的对资产进行合理的处置。流量威胁趋势,可以更直观的了解到资产近期的安全现状。
● 泄漏检测 数据泄露指受保护或机密数据可能被未经授权的人查看、偷窃或使用。由于企业业务性质、开发制度等原因,互联网公司一般会涉及较多的版本变更,且大部分互联网企业内部崇尚开源文化,开放的同时,也为数据泄露事件埋下隐患。近几年从泄漏渠道上来看主要有以下几个分类:GitHub代码类,网站入侵类,网络黑市交易类,合作商接口调用类等。 安全运营中心在GitHub和网络黑市这两个渠道进行了数据泄露的监控。通过安全运营中心的统一监控和处理,可以解放企业运维安全人员更多的时间,将更多精力集中在规则运营上。同时也能与云平台能够更好的整合开发、运维,将事件处理集中在一处,提高处理效率。在误报规则的运营处理方面,SaaS 化的平台比开源系统运营更持久,基于云上用户的体验集中优化,目前由云鼎实验室团队进行后台策略维护支持,误报问题相对较少,告警的质量相对较高。
(编辑:PHP编程网 - 湛江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
