“用云的方式保护云”：如何利用云原生SOC进行云端检测与响应( 八 ) 但随着云计算的到来

----“用云的方式保护云”：如何利用云原生SOC进行云端检测与响应//----

-调查中心

借助网络安全提供的端口、资产等信息，可以在调查中心中对挖矿木马的落地进行溯源分析。 1）调查中心的安全事件日志（event）中，查看挖矿主机是否有木马告警（SsaCvmInstanceId：受影响资产）

----“用云的方式保护云”：如何利用云原生SOC进行云端检测与响应//----

2）如果有木马告警，根据安全事件日志中记录的木马路径在资产指纹日志（assets_finger）中，寻找相关的木马进程（fullpath: 木马路径），进程的pid ，以及用户信息

----“用云的方式保护云”：如何利用云原生SOC进行云端检测与响应//----

3）根据机器信息，在安全事件日志（event）中搜索是否有异地登录和密码暴力破解成功相关的告警。进行溯源查找

----“用云的方式保护云”：如何利用云原生SOC进行云端检测与响应//----

4）同时也可以查看网络安全中，是否存在相关机器的恶意文件上传以及漏洞攻击的告警，进一步排查木马落地的原因。面对云上安全的新挑战，腾讯安全极为重视企业安全的“云原生”思维价值，并结合自身安全运营经验及广泛的云上客户调研，总结出云原生的CDR体系（Cloud Detection and Response）,包含事前安全预防体系、事中统一监测及威胁检测体系和事后响应处置体系，并建立全程的安全可视体系，以提升公有云上安全运营的灵敏度及效率。目前这套理念已依托腾讯云安全运营中心持续实践，帮助多个企业客户解决云上安全问题。

作为腾讯云的能力支持，腾讯安全已经实现了为腾讯云客户提供云原生的安全能力，提升企业信息安全“免疫力” ，配合腾讯云及其认证的生态合作伙伴，打造内在的安全韧性，构建弹性扩展、操作性强的安全架构，满足动态的安全需求。

“用云的方式保护云”： 如何利用云原生SOC进行云端检测与响应( 八 )

“用云的方式保护云”：如何利用云原生SOC进行云端检测与响应( 八 )