“用云的方式保护云”：如何利用云原生SOC进行云端检测与响应( 六 ) 但随着云计算的到来

-用户行为分析

UBA日志存放的是用户行为分析日志，该模块主要基于腾讯云用户在控制台的相关操作记录以及使用云API进行自动化操作的相关记录进行账号安全性分析，并及时提示运维人员进行相关风险处理。目前UBA模块已有的风险场景有以下四种：用户权限提升、资产高风险权限修改、用户权限遍历、新用户高危操作。

-CLB日志

CLB存放的是腾讯云负载均衡产品的访问日志数据，负载均衡（Cloud Load Balancer）是对多台云服务器进行流量分发的服务。负载均衡可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。

● 响应中心

响应中心是在安全事件发生后，通过内置的安全编排响应剧本，联动云上各类安全措施和产品对安全事件进行自动化响应处置并提供响应报告详情，可以及时阻断风险，配置加固资产，将安全事件的风险最大程度的降到最低。目前内置的剧本有SSH口令爆破类事件、RDP口令爆破类事件、Linux主机挖矿木马类事件及Windows主机挖矿木马类事件等云上常见的安全事件。

“用云的方式保护云”：如何利用云原生SOC进行云端检测与响应。

----“用云的方式保护云”：如何利用云原生SOC进行云端检测与响应//----

以SSH口令爆破事件为例，来看一下当安全事件发生后，响应中心如何快速的进行处置，将风险尽快排除。

----“用云的方式保护云”：如何利用云原生SOC进行云端检测与响应//----

上图可以看到，当SSH口令爆破事件发生后，剧本提供了四个步骤来处置，依次是：排查攻击源、排查被攻击资产、基线检测、木马检测。

1. 排查攻击源

如果攻击发生在外网，那么就联动安全组封禁外网的攻击IP 。如果是发生在内网，就及时隔离内网攻击资产的网络，同时检测攻击源资产是否安装了云镜专业版，因为内网主机发起横向爆破攻击，极有可能是在之前已经失陷。

2. 排查被攻击资产

如果被攻击资产爆破成功，那么首先要及时修改账户密码，同时要尽快隔离被攻击资产的网络，防止黑客借助此机器作为跳板发起进一步的内网渗透攻击。同时检测这个资产是否安装了云镜专业版进行主机侧的防御。

“用云的方式保护云”： 如何利用云原生SOC进行云端检测与响应( 六 )

“用云的方式保护云”：如何利用云原生SOC进行云端检测与响应( 六 )